Win32/Heur, Win32/Virut.dropper,Win32.Vitro, Résolu/Fermé

Question

Bonjour, 
Depuis environ deux jours j'ai un virus dans mon ordinateur. AVG a détecté le virus Win32/Heur et il y a aussi Win32/Virut.dropper, je les ai mis en quarantaine mais en fait je ne comprends pas trop c'est quoi, en fait de les mettre en quarantaine cela ne les tue pas n'est-ce pas?? 
Ensuite, j'ai téléchargé Avast et aussi Malawarebytes qui eux me sortent d'autres sortes de virus après un examen complet : Win32.Vitro, WMA:Wimad, Win32Malware-gen  

Ce que ça fait sur mon PC: 
-Il s'attaque à plusieurs de mes programmes, par exemple, je ne peux plus utiliser Word c'est comme si il n'existait plus. C'est la même chose pour Illustrator et Photoshop.  
-Quand je vais sur internet il y a souvent des fenêtres de shopping en ligne qui s'ouvre. 
-Mon Hotmail a envoyer plein de messages de magasins en ligne à certains de mes contacts. Deux fois en plus! 

J'ai aussi essayer de revenir à un point de restauration antérieure (la semaine passée) de mon système mais cela n'a pas fonctionné.  

Pouvez-vous m'aider!! Je n'ai vraiment pas envie de formater mon ordinateur ! 
Merci  

Configuration: Windows XP / Internet Explorer 7.0

johncarew · Answer

Hello
j'pense que là c'es foutu : ton pc est sur-infecté !
Réinstalle windows .... c'est mieux !

maryclouds · Answer

Tu penses.. mais il y deux jours tout allait bien je comprend pas de où ça sort ?? Pourtant mon anti-virus était activé. Quand tu dis réinstaller Windows ça veut dire que je vais tout perdre ??

karirovax · Answer

salut j'ai une petite sol car j'avais aussi ce prb pour la désinfection et si vous avez le CD d'instalation de xp :

insérez le dans votre cd/dvd et dans la 1ére page d'installation appuez sur R ( reparer )
puis dans la page noire tappez 1 (verr num doit allumer )
et la vous êtes dans c:\windows 
tappez cd system32 puis supprimez vous SVCHOST.EXE RUNDLL32.EXE USERINIT.EXE ..etc ( pour les autres tappez dir ) 
la commande de suppréssion est del nom ( nom est le prg a suppr)
ensuite tappez cd .. pour vous revenir au windows puis cd .. pour revenir au c: et tappez del ntldr ensuite 
del NTDETECT.COM puis tappez exit et enfin procedez vous a l'installation de winXP sauf que cette fois ci vous choisissez le deuxieme réparation ( aprés la confirmation de F8 ) dans cette page https://www.commentcamarche.net/faq/5120-installation-de-windows-xp

jalobservateur · Answer

Salut :)
 Sans jeter le bébé avec l'eau du bain...
Si l'infection n'est pas trop encrée profondément, il y a des solutions.
Alors si tu as pas encore formaté et 'si' le décallage horraire entre nous2 est pas trop grand, dis-moi si tu es prêt .

InfernO.vir · Answer

Salut jal' :),


Juste au passage si cela peut repondre a tes questions precedentes :

http://www.commentcamarche.net/faq/16138-comment-supprimer-virut


Bon courage jal :D

jalobservateur · Answer

Salut :_)
 Elle est bien bonne :)
L'article a en premier écrit par qui ? :)
Ouais c'est pas très bien indiqué en effet, plutot en bas...
Mais ... Il y a eu de l'évolution... Sauf sur la manip ici ;)

InfernO.vir · Answer

Je parlais au nom de maryclouds ;-) tes fou ou quoi ? --> "ce n'est pas au vieux singe qu'on apprend à faire la grimace"

Evidemment le "on" c'est moi :)


Pour moi tu es quelqu'un que j'admire pour ton boulot alors je ne vais pas te conseiller quoi que ce soit !

A+ :p

jalobservateur · Answer

Lol non t'inquiètes je ne fais que passer :)
Loin de moi l'idée de refaire de la désinfection sur les forums.
Je ne voulais juste pas que le demandeur se retrouve avec une machine vide et un séjour chez son marchant, pour du ver facilement délogeable sans utiliser du c4 :)
Take care l'ami, continues ton bon boulôt:)
 je blaguais 'en partie', mais la partie non blaguée est la désuétude du tuto...

InfernO.vir · Answer

Je ne comptais pas prendre en charge cette personne, moi et Virut >.< ...

Je passais juste pour info en donnant le lien du toto qui peut aider...


Bonne chance au helper.

jalobservateur · Answer

No problemo :)
 MP pour autre sujet

jalobservateur · Answer

Salut, il se fait tard un peu pour moi . 
Suis le lien que Inferno.vir t'a mit. 
Mais... 
Il est important de sauver tes documents. 
Je ne connais pas ton niveau de connaissance. 
Alors je fais au plus simple. 
La plus grande possibilité de succès est ici: http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html 
-------------------------------------------------------------------- 
Mais Dr.Web Cureit 'en non live CD', travaille bien 'normalement'. 
'Si' tu déconnectes la machine du net, puis une fois tes docs en sécurité, tu désactives la restoration système et en fin de nettoyage tu la réactives. 
------------------------------------------------------------------------- 
Tu peut par la suite suivre ce que justement je viens d'indiquer ici: https://forums.commentcamarche.net/forum/affich-17292617-avptool-mode-sans-echec#p17293608 
-------------------------------- 

Tu en as pour un bout bout, alors ce matin je jetterai un oeil, ici. 
Si tu obtiens un rapport de Dr.Web, postes-le ici: http://www.cijoint.fr/ 
Puis colles-moi le lien, afin que je l'analyse. 
Bon courage :) 


Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

maryclouds · Answer

Merci beaucoup pour ton aide ! Je fais suivre les étapes de la démarche! Juste une petite question .. je ne peux plus graver des données sur un cd, je crois que tout mes programmes pour faire cela sont infectés aussi. Alors y a-t-il un autre moyen pour graver des données?

jalobservateur · Answer

Des solutions il y en a toujours .
Question 1: 
Mais , disposes-tu d'une autre machine ? J'espère que oui et que c'est moyennant cette autre que tu communiques.
-----------------------------------------------

maryclouds · Answer

Non... :S J'en ai seulement qu'une et c'est avec elle que je communique.

jalobservateur · Answer

Ouais donc c'est moins joyeux là non non non !!!










Non en fait, je blague

Même si Windows plante de la mort, je peux te faire sauver tes docs après coup 'si' plantage de la mort il y a :)
Un live CD Linux c'est magique :)
http://cyber-nux.fr/tutoriels/51-windows-plante-ou-mort-linux-pour-sauver-la-solution

Mais on en es pas là .

Bref, passes par Dr.Web comme sur le tuto ici , mais ne scan pas 3 jours... Puis ne conserves pas Avast, mais utilises par la suite Comodo comme expliqué sur le lien plus haut.

maryclouds · Answer

Fiouu, j'ai eu chaud là!! merci!! Je te laisse aller dormir là! Merci encore!

jalobservateur · Answer

Tu as du boulot :)
 Limites au maximum l'utilisation de ta machine et si tu n'as vraiment pas à la connecter , alors fais-le .
2 jours c'est un sale temps qui joue contre toi.
Alors la machine laisses-la ouverte cette nuit, mais 'non connectée'.
Ne la redémarres pas, car les dangers s'accroissent.
Alors bonne nuit, moi il ne me reste que 4 heures pour me reposer.
@+

gen-hackman · Answer

bonsoir Jal'...joli sujet !!! ^^

maryclouds · Answer

Je ne suis pas capable de télécharger Dr web...

gen-hackman · Answer

essaie avec ce lien :

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/drweb-cureit.exe

maryclouds · Answer

Merci ! Ça a fonctionné! :)

gen-hackman · Answer

;) impec je te laisse continuer , il est 5h30 environ ici , et c'est l'heure d'aller dormir ^^ 
?G3?-?@¢??@?(TM)©®?

jalobservateur · Answer

Hey salut Gen :)
 Ouais long time ...
Je jette un oeil pour ton MP :)
--------------------------------
Maryclouds, c'est bon alors :)
Tu nous fera parvenir le lien 'cijoint' stp.
------------------------------------------
Mais de toutes façons, une fois le nettoyage Dr.Web effectué, passes à Comodo.
PS: Suis la conversation sur ce post si tu te questionnes.
https://forums.commentcamarche.net/forum/affich-17292617-avptool-mode-sans-echec#p17296646  ainsi que la vidéo en référence, si le besoin s'en fait sentir :)
NB: Toi tu es connectée depuis 3 jours avec la machine infectée et à moins que MBAM ait débuté à faire des miracles, viruT est toujours actif.
Donc partout ou tu cliques (logiciels), il y a une grande possibilité de clonage.
C'est une sale Bête ce truc.
Comodo est vraiment la solution de blocage la plus puissante alors fais ami/amie avec :)
Je reviens dans environ 9 heures

maryclouds · Answer

Ok bon la petit problème...encore...J'ai fais le test Dr Web et la je comprends pas il trouve seulement 4 fichiers infectés! Il ne peut pas les réparer alors je les ai mis en quarantaine. 

Maintenant, j'essaie d'ouvrir le rapport pour te l'envoyer sur le site que tu m'as donné mais la ça ouvre pas ! J'ai vu sur un autre forum qu'il fallait ouvrir le fichier csv avec excel mais la excel ne fonctionne plus sur mon ordi. Alors j'ai téléchargé Openoffice pour l'avoir de nouveau mais là lorsque j'essaie de l'installer ça dit que ça ne trouve pas le fichier.

Même chose lorsque j'essaie d'installer Comodo, j'ai essayé avec ton lien et aussi en passant par le site officiel de comodo et ça fait la même chose . On dirait que l'installateur de programmes de Windows ne fonctionne plus.. Je ne sais plus quoi faire là..

C'est quoi MBAM??

Je vais attendre ta réponse je crois avant de toucher à quoi que ce soit!

jalobservateur · Answer

Allo, j'ai que quelques minutes.
envois-moi le log Hijackthis stp
http://go.trendmicro.com/free-tools/hijackthis/HijackThisInstaller.exe
Il est possible que viruT ait été limité par MBAM '=Malwarebytes ?
Il est aussi possible que 'Windows installer' ait subi des dommages.
Si tu ne peut pas poster en .txt le rapport, alors 4 fichiers supprimés c'est minime donc colle le rapport Dr.Web ici, il va passer.
À mon retour ce soir je vais regarder tout ça.
Comme mentionné plus haut, utilises le moins possible ta machine, sinon pour venir exclusivement ici.

maryclouds · Answer

Processus en mémoire: C:\WINDOWS\System32\svchost.exe:872;;BackDoor.Tdss.565;Eradiqué.;
nxaocwesmr.tmp;C:\DOCUME~1\poste\LOCALS~1\Temp;Trojan.Click.25308;Supprimé.;
mirc.exe;C:\Program Files\mIRC\backup;Program.mIRC.60;Irréparable.Quarantaine.;
A0520343.exe;C:\System Volume Information\_restore{C6BA77D3-E8A9-4759-84A6-7A2631897E02}\RP1486;Program.mIRC.60;Irréparable.Quarantaine.;


J'ai réussi à te le copier coller ! :)
Il semble s'être logé dans le programme mIRC. Au pire je supprime mIRC??

maryclouds · Answer

Hijackthis:

Je l'ai fait ça a fonctionné sauf que encore le même problème je ne peux pas ouvrir le log, il n'y a aucun programme pour ouvrir un fichier .txt qui fonctionne...

maryclouds · Answer

Ok j'ai trouvé un moyen j'ai envoyé le fichier txt à mon amie qui elle m'a envoyé le contenu par e-mail. Mais là je l'envoie ici, est-ce sécuritaire?

maryclouds · Answer

Ok voilà le scan Hijackthis, sincéremment merci beaucoup pour ton temps:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:14, on 2010-04-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.umontreal.ca:443/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - *{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: profitmuse - {17d8d091-2e4d-0f94-7f0c-88eebe96b2a5} - C:\WINDOWS\system32\6a77dfad.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: profitizeme browser enhancer - {BFB61876-AAEB-2EA5-EDCD-2DE98553DD5D} - C:\WINDOWS\system32\xfinfsrldztsjroqc.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: HopSurf toolbar - {E9FAB13D-4600-49E1-90D1-EE961C859D39} - C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\RunOnce: [RegisterHSToolbarFileAccessGuardian.dll] C:\WINDOWS\system32\regsvr32.exe  /s "C:\Program Files\Comodo\HopSurfToolbar\FileAccessGuardian.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup:  WinCinema Manager.lnk = C:\Program Files\Sandisk\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Add to  Evernote - res://C:\Program Files\Evernote\Evernote3\enbar.dll/2000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E9252800} - C:\Program Files\Evernote\Evernote3\enbar.dll
O9 - Extra 'Tools' menuitem: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E9252800} - C:\Program Files\Evernote\Evernote3\enbar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: HopSurf - {ED98F8D1-09AC-4107-B2FF-91DBE011B0C5} - C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://marie-claude33.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: intu-ir2008 - {729D3592-92E7-4CBC-8E44-3C22B3F457B3} - C:\Program Files\ImpotRapide 2008\ic2008pp.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: gport_ - C:\WINDOWS\SYSTEM32\gport_.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O24 - Desktop Component 0: (no name) - http://yves.marsal.free.fr/atoutmidi/cabrel_je_l'aime_a_mourir.mid

jalobservateur · Answer

Salut, passage très rapide.
Je vais revenir

Des infections banales et un log trop lourd.
Des infections délogeables avec MBAM.
Mettre à jour et scan complet.

Des traces de AVG et une trace de Comodo.
Je ne vois pas de traces de viruT ici.

Il y a sûrement une redirection ici:O20 - Winlogon Notify: gport_ - C:\WINDOWS\SYSTEM32\gport_.dll 

Et cette clef de registres sûrement.
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\gport_]  infectueuse
-----------------------------------------
 Beaucoup de nettoyage à faire.
Le seul hic est que j'ai eu un appel client alors je ne pourrai pas continuer avec toi, pour le reste.
Mais je vais MP un helper qui terminera avec toi.
Donc t'inquiètes, rien de mortel :)

gen-hackman · Answer

bonsoir : 



DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"




?G3?-?@¢??@?(TM)©®?

maryclouds · Answer

D'accord je vois..mais avez-vous une idée pourquoi avast avait détecté le virus Win32/Vitro il en avait environ 50 fichiers touchés par celui-ci, avast les a mis en quarantaine mais maintenant les fichiers touchés ne sont plus accessibles. 

Pour ce qui est du log trop lourd je ne comprends pas ce que ça veut dire.

Donc en gros ce que je dois faire si j'ai bien compris c'est que je dois enlever Avast (j'ai aussi AVG mais il n'est pas activé) et mettre à jour MBAM et faire un autre scan et ensuite télécharger  List_Kill'em et suivre la démarche de gen-hackman ? Et puis les programmes vais-je être capable de les utiliser à nouveau?

Je suis quand même soulagée que ce ne soit pas aussi grave que je le croyais :)

gen-hackman · Answer

tout à fait

maryclouds · Answer

Ça va pas du tout là .. je crois que j'ai libéré la bête... 

pour récupérer mes programme j'ai restauré tous les fichiers en quarantaine dans avast et j'ai fermé Avast..je crois qu'il ne fallait pas que je fasse cela  maintenant tout s'infecte a vu d'oeil avec virut.dropper, j'ai passé un dr web mais on dirait que ce nest pas assez...! En ce moment je n'ai aucun parefeu ou antivirus d'actif

gen-hackman · Answer

tu as desactivé la restauration systeme ?

gen-hackman · Answer

grave-le d'un autre PC est passe-le a partir du cd

n'oublie pas : "tout desinfecter" et non "supprimer"

maryclouds · Answer

Je ne possède pas d'autre PC ...mais il fonctionne il est en train de faire un examen en ce moment.. Devrais-je réactiver avast ou avg?

maryclouds · Answer

Est-ce que ça sert à quelque chose que je scan avec MBAM ou ce n'est pas pour virut?

gen-hackman · Answer

non pour les antivirus , il ne faudrait d'ailleurs en avoir qu'un.

oui c'est pour virut

jalobservateur · Answer

Salut Gen :)
 Maryclouds, j'ai reçu ton MP.
Il ne fallait surtout pas libérer la Bête , pour une fois que Avast avait fait son job...
La quarantaine  = de prison, alors que supprimer de la quarantaine = le peloton d'exécution du coupable.
Là il est en liberté , alors c'est pas la joie...

jalobservateur · Answer

Il te faudrait vraiment avoir accès à une autre machine et un graveur CD, afin de fermer (1) seule fois cet infecte Windows et procéder à la désinfection de viruT via le live CD. 
Il te faut absolument par la suite bloquer avec un vrai parefeu (Comodo). 
Je vais répondre à tes questions MP de ce pas. 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

jalobservateur · Answer

Bon finalement l'aidée avait de la difficulté avec les manipulations, donc elle a été porter sa machine chez son marchand . 
J"ai reçu son MP.
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

gen-hackman · Answer

je sais pas si le marchand sera efficace contre ca ^^

bonsoir , Jal' merci

jalobservateur · Answer

Ouais Gen :) 
 Souvent ils scorent pas en effet, sinon Low Level Format possiblement si le tech est au parfum... 
 Le hic pour cette demande est l'infection trop vieille et incrustée et pas d'autre machine dispo, alors ... 
Hey hs ici exploit PDF à vu d'oeil rapide et laissé seul ... :) 
https://forums.commentcamarche.net/forum/affich-17442998-onglet-s-ouvre-seul-et-liens-vers-pubs 
Ou pas ,? trop grosse journée, je vois double :)
Ciao Gen  

Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

Win32/Heur, Win32/Virut.dropper,Win32.Vitro,

44 réponses

Discussions similaires