Virus/Ver: BV:AutoRun-H [Wrm] [Fermé]

Signaler
Messages postés
20
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
26 juillet 2010
-
 PateATartiner -
Bonjour, Bonsoir,

Depuis, maintenant plusieurs semaines, mon anti-virus, Avast, a mis en quarantaine "BV:AutoRun-H [Wrm]" et je ne sais pas ce que je dois faire pour qu'Avast élimine ce virus.

De plus, mon ordinateur me fait apparaître un fenêtre "explorer.exe", souvent suivis par "DRWTSN32.EXE" qui ont, tous deux, "rencontré un problème et doivent fermer". Cela apparaît, lorsque je vais dans n'importe quel dossier et que je clic sur un fichier.

J'ai regardé différents sujets sur plusieurs forums, mais j'arrive pas à trouver de solutions. J'ai, entres autres, utilisé: UsbFix, Random's System Information Tool, Autorun Eater, Registry Reviver et quelques autres. J'ai effacer tous les programmes que j'ai vu sur les autres sujets et/ou sur google, sauf les deux premiers que j'ai cité, mais, rien à faire, j'ai toujours les mêmes problèmes.

Merci d'avoir lu et de m'aider à solutionner mon problème.

95 réponses


J'ai toujours le problème et je n'ai pas trouvé de solutions.

Merci pour les futurs réponses.

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\drivers\dwusbdnt.sys
C:\WINDOWS\System32\KILLAPPS.EXE
C:\WINDOWS\System32\PDFSpooler.exe
C:\WINDOWS\System32\AQCKGen.dll
C:\WINDOWS\System32\SFCVRT32.DLL



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

Où dois-je cliquer pour formater une fois l'analyse de VirusTotal terminée?

Tout est écrit en anglais et je m'y perds un peu.

Dois-je cacher mes fichiers cachés avant de lancer List_Kill'em?

colle les liens de VT ici

http://www.virustotal.com/file-scan/report.html?id=403cf489872d75e2adf18e848ade106bb7529b64b2a5118f243922ec7ba41f88-1282618073

http://www.virustotal.com/file-scan/report.html?id=5c1f34870c0b784177e11851f82b3977acbecc76592b790d0e166f8e4cfed008-1282618235

http://www.virustotal.com/file-scan/report.html?id=c66113a036a0cb2ea5b9c632f04bf55c27a005c09df2abba1e73c7b08908302c-1282618852

http://www.virustotal.com/file-scan/report.html?id=9b1cc0ed66551b44a4f07f85486114d26d55623602442ea98fbd03f3c6eae56e-1282618925

http://www.virustotal.com/file-scan/report.html?id=f3a6eaf46df90918541de1ee9d9f47a2f28a4da58ea8261237d3f7b80c82c28c-1282618999

salut

ok le deuxième et le quatrième :=> poubelle

ensuite......la suite ! :) ^^

Je les supprime à la main?

Je continue en lançant List_Kill'em?

oui et oui

Je ne peux pas effacer "C:\WINDOWS\System32\AQCKGen.dll".

ca dit quoi ?

J'ai redémarrer l'ordinateur et ça a fonctionné.

Dois-je recacher les fichiers cachés avant de lancer List_Kill'em?

pas obligatoirement

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.4 ¤¤¤¤¤¤¤¤¤¤

User : Christian (Administrateurs)
Update on 07/08/2010 by g3n-h@ckm@n ::::: 16.00
Start at: 03:09:22 | 28.08.2010

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886674 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 229.27 Go (174.66 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 931.28 Go (768.88 Go free) [My Book] | FAT32


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----400 Ko
C:\WINDOWS\system32\csrss.exe ----3548 Ko
C:\WINDOWS\system32\winlogon.exe ----3940 Ko
C:\WINDOWS\system32\services.exe ----3728 Ko
C:\WINDOWS\system32\lsass.exe ----6236 Ko
C:\WINDOWS\system32\svchost.exe ----4848 Ko
C:\WINDOWS\system32\logonui.exe ----2040 Ko
C:\WINDOWS\system32\svchost.exe ----4364 Ko
C:\WINDOWS\System32\svchost.exe ----18872 Ko
C:\WINDOWS\system32\svchost.exe ----3352 Ko
C:\WINDOWS\System32\svchost.exe ----2960 Ko
C:\WINDOWS\System32\svchost.exe ----3808 Ko
C:\WINDOWS\System32\userinit.exe ----3148 Ko
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe ----1904 Ko
C:\WINDOWS\Explorer.EXE ----7896 Ko
C:\WINDOWS\system32\rundll32.exe ----3504 Ko
C:\WINDOWS\system32\cmd.exe ----1908 Ko
C:\WINDOWS\system32\spoolsv.exe ----5520 Ko
C:\WINDOWS\System32\svchost.exe ----3752 Ko
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe ----2296 Ko
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe ----5000 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----2636 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----3732 Ko
C:\WINDOWS\System32\CTsvcCDA.exe ----1368 Ko
C:\Program Files\Creative\Shared Files\CTDevSrv.exe ----1392 Ko
C:\WINDOWS\System32\svchost.exe ----3680 Ko
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE ----2884 Ko
C:\Program Files\VeriSign\NAVI\naviagent.exe ----1440 Ko
C:\WINDOWS\System32\nvsvc32.exe ----2328 Ko
C:\WINDOWS\System32\svchost.exe ----4768 Ko
C:\WINDOWS\System32\MsPMSPSv.exe ----1576 Ko
C:\WINDOWS\system32\wuauclt.exe ----6748 Ko
C:\Program Files\Canon\CAL\CALMAIN.exe ----2888 Ko
C:\WINDOWS\System32\alg.exe ----3568 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6768 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3260 Ko
C:\Program Files\List_Kill'em\pv.exe ----2732 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :


Quarantined & Deleted !! : C:\WINDOWS\System32\aniwzcsusername

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========


=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
FirstRunDisabled = 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe >>UNKNOWN [0x8A7425D0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8a7425d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

bonjour elle est plus bonne cette version

telecharge et installe ce fichier de mise à jour et relance "Clean"

http://sd-4.archive-host.com/membres/up/829108531491024/List_Killem_update.exe

Bonjour, y a-t-il une nouvelle version?

XPTDR !!!!!!!!!!

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤

User : Christian (Administrateurs)
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 17:32:20 | 26.09.2010

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886757 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 229.27 Go (174.36 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local | 931.28 Go (910.73 Go free) [My Book] | FAT32


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----400 Ko
C:\WINDOWS\system32\csrss.exe ----4336 Ko
C:\WINDOWS\system32\winlogon.exe ----3492 Ko
C:\WINDOWS\system32\services.exe ----3684 Ko
C:\WINDOWS\system32\lsass.exe ----6336 Ko
C:\WINDOWS\system32\svchost.exe ----4948 Ko
C:\WINDOWS\system32\svchost.exe ----4508 Ko
C:\WINDOWS\System32\svchost.exe ----21528 Ko
C:\WINDOWS\system32\svchost.exe ----3364 Ko
C:\WINDOWS\System32\svchost.exe ----3544 Ko
C:\WINDOWS\System32\svchost.exe ----3892 Ko
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe ----21232 Ko
C:\WINDOWS\Explorer.EXE ----29480 Ko
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe ----2404 Ko
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe ----5384 Ko
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe ----6840 Ko
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe ----2812 Ko
C:\Program Files\iTunes\iTunesHelper.exe ----13624 Ko
C:\Program Files\Messenger\msmsgs.exe ----2172 Ko
C:\WINDOWS\system32\ctfmon.exe ----3584 Ko
C:\Documents and Settings\Christian\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe ----4760 Ko
C:\Documents and Settings\Christian\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe ----2840 Ko
C:\WINDOWS\system32\spoolsv.exe ----5552 Ko
C:\WINDOWS\System32\svchost.exe ----3776 Ko
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe ----2300 Ko
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe ----5024 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----2740 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----3788 Ko
C:\WINDOWS\System32\CTsvcCDA.exe ----1380 Ko
C:\Program Files\Creative\Shared Files\CTDevSrv.exe ----1528 Ko
C:\WINDOWS\System32\svchost.exe ----3720 Ko
C:\Program Files\VeriSign\NAVI\naviagent.exe ----2884 Ko
C:\WINDOWS\System32\nvsvc32.exe ----2356 Ko
C:\WINDOWS\System32\svchost.exe ----4828 Ko
C:\WINDOWS\System32\MsPMSPSv.exe ----1596 Ko
C:\WINDOWS\system32\wuauclt.exe ----8800 Ko
C:\Program Files\Canon\CAL\CALMAIN.exe ----2936 Ko
C:\Program Files\iPod\bin\iPodService.exe ----4120 Ko
C:\WINDOWS\System32\alg.exe ----3628 Ko
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE ----8680 Ko
C:\WINDOWS\system32\wscntfy.exe ----2400 Ko
C:\WINDOWS\system32\cmd.exe ----2940 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6756 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3160 Ko
C:\Program Files\List_Kill'em\pv.exe ----2748 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :



¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
FirstRunDisabled = 1 ()

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe >>UNKNOWN [0x8A7425D0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8a7425d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

elle est plus bonne ta version !

Euh... *rire*

Pourriez-vous me donnez le lien pour la nouvelle version?

Ou appuyez sur "Update" suffit?

oui