suppression de virus impossibleFermé

Question

Bonjour,Un virus, de type troyen, appelé "pmkhf.dll" (de menace "generic downloader.ab") et situé dans "C:\WINDOWS\system32" a été détecté par mon anti-virus ManagedVirusScan de McAfee et cela m'empêche d'aller sur internet et ralenti toutes mes opérations.Une fenêtre de ManagedVirusScan s'ouvre et se referme toutes les 30 secondes en me disant que la suppression du fichier a échoué.Et impossible d'effacer ce fichier...Je suis passé en mode sans échec mais toujours échec de la suppression.Je suis aussi allé supprimer le fichier dans le fichier de quarantaine de ManagedVirusScan. Cela le supprime mais il se recrée aussitôt!J'utilise aussi SpyBot et AdAware comme anti-spywares mais aucun des deux ne le détecte pour le supprimer.Je ne sais plus quoi faire pour le détruire.Alors est-ce que quelqu'un a déjà eu affaire à ce virus et comment puis-je le détruire?Merci.

^^Marie^^ · Answer

BONSOIR,Commence par scanner ton pc avec ces 2 anti spywares complémentaires :1/ Spybot S&D 1.4 <<nouvelle versionhttp://www.safer-networking.org/fr/index.htmDémo d’utilisation (merci à Balltrap34 pour cette réalisation)http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm2/ Ad-Aware SE 1.06 <<nouvelle versionhttp://www.lavasoftusa.com/software/adaware/-Une aide:http://www.tutopat.com/viewtopic.php?t=1191- installe le patch français dans le dossier de Ad-Aware, sinon tu ne pourras pas installer la langue française, tu pourras le trouver ici:http://download.lavasoft.de.edgesuite.net/public/pllangs.exeet une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)http://pageperso.aol.fr/balltrap34/adawrevid.asf-------------------------------------------------------------------------Ensuite vide tes fichiers temps et tempory internet file:utilise ceci pour le faire : http://pageperso.aol.fr/balltrap34/CleanUp40.exe-------------------------------------------------------------------------Puis, fais ces deux scans en ligne (avec Internet Explorer) :1/ http://www.bitdefender.com/scan/licence.phpCopie/colle le rapport iciet2/ Télécharge la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/Installe la. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".Lance ewido security suite. Clique sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).Attendre la fin de cette mise à jour puis fermer le programme.Puis, lance ewido security suite et clique sur scanner puis sur scan complet du système.Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).A la fin du scan, Sauve le rapport (Fichier--->Enregistrer sous...).Et colle le rapport ici-------------------------------------------------------------------------Enfin, joins un log HijackThis, télécharge HijackThis ici:http://www.hijackthis.de/downloads/hijackthis_199.zipPour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.Je te conseille donc de créer un dossier (par exemple: C:\HJT) puis d'y déplacer le fichier HijackThis.exe.Lance le puis:clique sur "do a system scan and save logfile" (cf démo)fais un copier coller du log entier iciDémo : (merci à balltrap34 pour cette réalisation)http://pageperso.aol.fr/balltrap34/demohijack.htmBon courageA+

Niouws · Answer

Salut tu t'es assuré d'arrêté le processus encours? fais exécuter tappe "msconfig" et tu clique sur l'onglet "démarrage"et la tu décoche la case suspecte appartenant au trojan (generic.downloader.ab)Ensuite redémarre ton pc, et refais une analyse antivirus

jean38 · Answer

Salut Moe,on dirait que lorsque les élèves grandissent, ils oublient les origines de leur savoir.N'oublions pas que le but c'est d'aider les autres et peut être que nous pourrions être fier de ceux qui nous ont permis d'y arriver plus que de ce que nous ecrivons.Qu celui d'entre nous qui ne copie pas les posts qui marchent leve la main, ce serait un ane puisque pourquoi inventer ce qui fonctionne.Cheres et chers amis restons centrer sur ce qui nous anime et nous passionne.Quand un doigt montre le ciel, l'ignorant et celui qui regarde le doigt...elle est pas belle celle là??Bises à tous Jean

Niouws · Answer

Y a pas un nom suspect, tout peux varier?

Niouws · Answer

http://www.hijackthis.de/downloads/hijackthis_199.zip Ouvre le programme (nécessite aucune installation) fait un : Do system scan and save log file ensuite colle le rapport sur ce forum ici la je pourrais voir ce que ta comme clé suspecte.

Utilisateur anonyme · Answer

salut niouws,tu vas bien? ca fait plaisir de te revoir !! En tout cas, moi j ai pris des manips de balltrap, moe etc et ca me derange pas qu on me les piques au contraire, si cela resous le probleme tant mieuxmes amities au forum

Niouws · Answer

c'est sympa

balltrap34 · Answer

lolreal mona ton intervention est tres limitesle copier coller c est fait pour sinon met un copyrigt sur tes postspour avoir des droits d auteurmais le problemes tu vas devoir nous en reverser lolchique je vais etre richesalut a tous

Niouws · Answer

Tu peux fixer tout ceci :O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkhf.dll O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\Run: [USB Device] win32usb.exe O4 - HKLM\..\Run: [wordpad] kmleyue.exe O4 - HKLM\..\RunServices: [USB Device] win32usb.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [VGA Startup] vgacard.exe O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKCU\..\Run: [USB Device] win32usb.exe O4 - HKCU\..\Run: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA} - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab O20 - Winlogon Notify: pmkhf - C:\WINDOWS\SYSTEM32\pmkhf.dll O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing) O23 - Service: VSASaPInstall - Unknown owner - G:\vssetup.exe (file missing)Après avoir fixé tout ça, redémarre ton pc et relance une analyse antivirusDsl pas NWIZ !!!!!!!!!

Niouws · Answer

NE fixe pas nwiz STP me suis tromper

Niouws · Answer

Fixé veut dire réparé, corrigé. Tu coches sur les cases des noms de dossier et fichiers que je t'ai dit ensuite apres les avoir faits tu clique sur le bouton FIX

balltrap34 · Answer

saluttu vas dans panneau de configoption internet/onglet avanceret cocher dans la liste desactiver le debogueur de script

balltrap34 · Answer

tu as redemarrer pour voir

balltrap34 · Answer

a tu fait se que nious te demande au n°18

balltrap34 · Answer

ont vas voirrelance hijackclik sur view liste de backupet coche  toutes les lignes et clik sur restorela refait un hijack et donne le rapport

Niouws · Answer

as-tu essayé de supprimer le virus manuellement apartir du mode sans échec?

Niouws · Answer

Oui, il faut chercher le fichier qui s'assure de la création de ce fichier. Normalement il doit tourner en processus, mais je ne le vois pas dans ton log hijack.O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\Run: [wordpad] kmleyue.exe O4 - HKLM\..\Run: [USB Device] win32usb.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\RunServices: [USB Device] win32usb.exe O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [VGA Startup] vgacard.exe O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKCU\..\Run: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [USB Device] win32usb.exe O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe Ceci sont toutes les clés de registres qui appartiennent à différents virus.Va dans exécuter et tu tappes msconfig clique sur longlet démarrage et tu décoches les cases des clé de registre ci-dessous ensuite redémarre ton ordinateur et regarde si l'erreur de script et toujours la.

balltrap34 · Answer

respect l ordre de la procedure salut **************************************************************** ► imprime ceci pour ne rien oublier et tous faire tous faire dans l ordre imperativement **************************************************************** ► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif ♪ ad-aware (1)version 1.06 (ici) http://www.florensac-chasse-trap.com/ section virus voir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip *** ♪ spybot (2)version 1.4 (ici) http://www.florensac-chasse-trap.com/ section virus voir demo http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm *** et aussi ceci ♪ CleanUp40.exe(3) voir demo http://pageperso.aol.fr/balltrap34/democleanup.htm *** ♪ a2(4) http://www.emsisoft.net/fr/ penser a le metre a jour avant de scanner le pc *** télécharge : process xp ici: http://www.sysinternals.com/files/procexpnt.zip decompresse le Déconnecte toi Ferme tous les programmes double clic sur processxp.exe * Dans la fenêtre principale de processxp double clic sur winlogon.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionne seulement les lignes qui contiennent pmkhf.dll puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok * Dans la fenêtre principale de processxp double clic sur explorer.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionner seulement les lignes qui contiennent pmkhf.dll puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok **************************************************************** ► assure toi de ceci Affiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer **************************************************************** ► vide tes fichiers temps et tempory internet file sur tous les utilisateur utilise ceci pour le faire ♪http://pageperso.aol.fr/Balltrap34/CleanUp40.exe **************************************************************** ► relance hijack coche ces lignes et ensuite clik sur fix R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\pmkhf.dll O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file) O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\Run: [wordpad] kmleyue.exe O4 - HKLM\..\Run: [USB Device] win32usb.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe O4 - HKLM\..\RunServices: [USB Device] win32usb.exe O4 - HKLM\..\RunServices: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [VGA Startup] vgacard.exe O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe O4 - HKCU\..\Run: [wordpad] kmleyue.exe O4 - HKCU\..\Run: [USB Device] win32usb.exe O4 - HKCU\..\Run: [Machine Update Soft] wusas.exe O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O20 - Winlogon Notify: pmkhf - C:\WINDOWS\SYSTEM32\pmkhf.dll O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing) **************************************************************** ►clik sur Démarrer->exécuter->tape: services.msc Double-clique: System Manager Service (SMSC) Règle-le sur "Arrêté" et "Désactivé". **************************************************************** ► redemarre en mode sans echec mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5 **************************************************************** ► recherche et suppr ceci C:\WINDOWS\system32\pmkhf.dll svmhost.exe <==te trompe pas d ortographe kmleyue.exe win32usb.exe vgacard.exe wusas.exe spoolvs.exe <==te trompe pas efface spoolVS et pas spoolSV C:\WINDOWS\smsc.exe **************************************************************** ► **************************************************************** ►passe adaware et vire tous se qu il trouve **************************************************************** ►passe spy boot et vire tous se qu il trouvent **************************************************************** ►passe a2 **************************************************************** tu vide ta poubelle et tu redemarre en mode normal et refait un hijack et precise ou en sont tes soucis --

Suppression de virus impossible

18 réponses

Discussions similaires

Newsletters