suppression de virus impossible

Question

Bonjour,

Un virus, de type troyen, appelé "pmkhf.dll" (de menace "generic downloader.ab") et situé dans "C:\WINDOWS\system32" a été détecté par mon anti-virus ManagedVirusScan de McAfee et cela m'empêche d'aller sur internet et ralenti toutes mes opérations.

Une fenêtre de ManagedVirusScan s'ouvre et se referme toutes les 30 secondes en me disant que la suppression du fichier a échoué.
Et impossible d'effacer ce fichier...
Je suis passé en mode sans échec mais toujours échec de la suppression.
Je suis aussi allé supprimer le fichier dans le fichier de quarantaine de ManagedVirusScan. Cela le supprime mais il se recrée aussitôt!

J'utilise aussi SpyBot et AdAware comme anti-spywares mais aucun des deux ne le détecte pour le supprimer.
Je ne sais plus quoi faire pour le détruire.
Alors est-ce que quelqu'un a déjà eu affaire à ce virus et comment puis-je le détruire?
Merci.

Afficher la suite

^^Marie^^ · Answer

BONSOIR,

Commence par scanner ton pc avec ces 2 anti spywares complémentaires :

1/ Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.htm
Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/ Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français dans le dossier de Ad-Aware, sinon tu ne pourras pas installer la langue française, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

-------------------------------------------------------------------------
Ensuite vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire : http://pageperso.aol.fr/balltrap34/CleanUp40.exe

-------------------------------------------------------------------------
Puis, fais ces deux scans en ligne (avec Internet Explorer) :

1/ http://www.bitdefender.com/scan/licence.php
Copie/colle le rapport ici
et
2/ Télécharge la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
Installe la. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".
Lance ewido security suite. Clique sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.
Puis, lance ewido security suite et clique sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauve le rapport (Fichier--->Enregistrer sous...).
Et colle le rapport ici
-------------------------------------------------------------------------
Enfin, joins un log HijackThis, télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\HJT) puis d'y déplacer le fichier HijackThis.exe.

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
fais un copier coller du log entier ici

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

Niouws · Answer

Salut tu t'es assuré d'arrêté le processus encours?

fais exécuter tappe "msconfig" et tu clique sur l'onglet "démarrage"

et la tu décoche la case suspecte appartenant au trojan (generic.downloader.ab)

Ensuite redémarre ton pc, et refais une analyse antivirus

jean38 · Answer

Salut Moe,

on dirait que lorsque les élèves grandissent, ils oublient les origines de leur savoir.
N'oublions pas que le but c'est d'aider les autres et peut être que nous pourrions être fier de ceux qui nous ont permis d'y arriver plus que de ce que nous ecrivons.

Qu celui d'entre nous qui ne copie pas les posts qui marchent leve la main, ce serait un ane puisque pourquoi inventer ce qui fonctionne.

Cheres et chers amis restons centrer sur ce qui nous anime et nous passionne.

Quand un doigt montre le ciel, l'ignorant et celui qui regarde le doigt...

elle est pas belle celle là??

Bises à tous

Jean

Niouws · Answer

Y a pas un nom suspect, tout peux varier?

Niouws · Answer

http://www.hijackthis.de/downloads/hijackthis_199.zip

Ouvre le programme (nécessite aucune installation) fait un : Do system scan and save log file ensuite colle le rapport sur ce forum ici la je pourrais voir ce que ta comme clé suspecte.

Utilisateur anonyme · Answer

salut niouws,
tu vas bien? ca fait plaisir de te revoir !!

En tout cas, moi j ai pris des manips de balltrap, moe etc et ca me derange pas qu on me les piques au contraire, si cela resous le probleme tant mieux

mes amities au forum

Niouws · Answer

c'est sympa

balltrap34 · Answer

lol
real mona ton intervention est tres limites

le copier coller c est fait pour sinon met un copyrigt sur tes posts
pour avoir des droits d auteur
mais le problemes tu vas devoir nous en reverser lol
chique je vais etre riche

salut a tous

Niouws · Answer

Tu peux fixer tout ceci :

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkhf.dll

O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [wordpad] kmleyue.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - HKCU\..\Run: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab
O20 - Winlogon Notify: pmkhf - C:\WINDOWS\SYSTEM32\pmkhf.dll
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: VSASaPInstall - Unknown owner - G:\vssetup.exe (file missing)

Après avoir fixé tout ça, redémarre ton pc et relance une analyse antivirus

Dsl pas NWIZ !!!!!!!!!

Niouws · Answer

NE fixe pas nwiz STP me suis tromper

Niouws · Answer

Fixé veut dire réparé, corrigé. Tu coches sur les cases des noms de dossier et fichiers que je t'ai dit ensuite apres les avoir faits tu clique sur le bouton FIX

balltrap34 · Answer

saluttu vas dans panneau de configoption internet/onglet avanceret cocher dans la liste desactiver le debogueur de script

balltrap34 · Answer

tu as redemarrer pour voir

balltrap34 · Answer

a tu fait se que nious te demande au n°18

balltrap34 · Answer

ont vas voirrelance hijackclik sur view liste de backupet coche  toutes les lignes et clik sur restorela refait un hijack et donne le rapport

Niouws · Answer

as-tu essayé de supprimer le virus manuellement apartir du mode sans échec?

Niouws · Answer

Oui, il faut chercher le fichier qui s'assure de la création de ce fichier. Normalement il doit tourner en processus, mais je ne le vois pas dans ton log hijack.

O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [wordpad] kmleyue.exe
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe

Ceci sont toutes les clés de registres qui appartiennent à différents virus.

Va dans exécuter et tu tappes msconfig

clique sur longlet démarrage et tu décoches les cases des clé de registre ci-dessous ensuite redémarre ton ordinateur et regarde si l'erreur de script et toujours la.

balltrap34 · Answer

respect l ordre de la procedure

salut

****************************************************************
► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
****************************************************************
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

♪ ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
♪ spybot (2)version 1.4

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***
et aussi ceci
♪ CleanUp40.exe(3)

voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
***
♪ a2(4)

http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
***
télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
decompresse le

Déconnecte toi
Ferme tous les programmes

double clic sur processxp.exe

* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent pmkhf.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent pmkhf.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
****************************************************************

► assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
****************************************************************
► vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
♪http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

****************************************************************
► relance hijack coche ces lignes et ensuite clik sur fix
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\pmkhf.dll
O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file)
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [wordpad] kmleyue.exe
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [wordpad] kmleyue.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: pmkhf - C:\WINDOWS\SYSTEM32\pmkhf.dll
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)

****************************************************************
►clik sur Démarrer->exécuter->tape: services.msc

Double-clique: System Manager Service (SMSC)

Règle-le sur "Arrêté" et "Désactivé".

****************************************************************
► redemarre en mode sans echec

mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
****************************************************************
► recherche et suppr ceci
C:\WINDOWS\system32\pmkhf.dll
svmhost.exe <==te trompe pas d ortographe
kmleyue.exe
win32usb.exe
vgacard.exe
wusas.exe
spoolvs.exe <==te trompe pas efface spoolVS et pas spoolSV
C:\WINDOWS\smsc.exe

****************************************************************
►
****************************************************************
►passe adaware et vire tous se qu il trouve
****************************************************************
►passe spy boot et vire tous se qu il trouvent
****************************************************************
►passe a2
****************************************************************
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis

--

Suppression de virus impossible

18 réponses

Votre réponse

Discussions similaires

Newsletters