mIRC, soupçon d'un virus.Résolu/Fermé

Question

Bonjour,  


Depuis peu, au démarrage de windows, j'ai le logiciel mIRC qui se lançe sans même l'avoir préalablement lancé étant donné que je ne l'ai jamais téléchargé. De plus, je ne le trouve pas dans les processus ni dans la barre de tâche, et le scan avec avast n'a rien donné. 

J'ai lu par ci par là quelques éléments de réponses mais je c n'y rien comprends pas grand chose.

Quelqu'un aurait il une solution ou une ébauche de solution à faire partager s'il vous plait ? 

Je vous remercie par avance. 

Cordialement, Mezzzman

archet9 · Answer

Salut,


Et via le panneau de configuration ?

Utilisateur anonyme · Answer

Je le supprime dans ajout/suppression,  mIRC contenu dans winwows/temp/svoop je crois, il me dit qu'il reste des fichiers qui ne peuvent être supprimés mais que la suppression s'est faite correctement.. apres le gestionnaire d'ajout suppresqion plante.

archet9 · Answer

Ok on va faire différement : 

Télécharge [ http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe seaf.exe de C__XX ]  



*Double clique sur SEAF.exe.  

*Coche "Chercher également dans le registre".  

*Tape   mIRC  dans la fenêtre.  

*Clique sur Lancer la recherche.  

*Patiente quelques minutes(tu peux suivre l'avancement du scan).  

*Une fenêtre avec un SEAFlog.txt va s'afficher.  

*Copie/colle ce rapport dans ta prochaine réponse.

Utilisateur anonyme · Answer

Voila ce que cela donne, je te remercie.

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 23:00:59 le 29/08/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. mIRC
8. 
9. (!) --- Recherche registre
10. 
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12. 
13. Aucun fichier trouvé
14. 
15. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16. 
17. Aucun dossier trouvé
18. 
19. 
20. ====== Entrée(s) du registre ======
21. 
22. 
23. 
24. [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
25. "C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC"
26. 
27. [HKEY_USERS\S-1-5-21-1482476501-1409082233-1417001333-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
28. "C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC"
29. 
30. =========================
31. 
32. Fin à: 23:01:49 le 29/08/2010 ( E.O.F )

Utilisateur anonyme · Answer

Même chose faîte après un redémarrage : 

HE1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 23:16:47 le 29/08/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. mIRC
8. 
9. (!) --- Recherche registre
10. 
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12. 
13. "c:\WINDOWS\Temp\spoolsv\mirc.ini" [ ----A---- | 2271 ]
14. TC: 29/08/2010,23:14:17 | TM: 29/08/2010,23:16:23 | DA: 29/08/2010,23:16:23
15. 
16. =========================
17. 
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19. 
20. Aucun dossier trouvé
21. 
22. 
23. ====== Entrée(s) du registre ======
24. 
25. 
26. 
27. [HKEY_CLASSES_ROOT\ChatFile\Shell\open\ddeexec\Application]
28. ""="mIRC"
29. 
30. [HKEY_CLASSES_ROOT\irc\Shell\open\ddeexec\Application]
31. ""="mIRC"
32. 
33. [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
34. "C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC"
35. 
36. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChatFile\Shell\open\ddeexec\Application]
37. ""="mIRC"
38. 
39. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\irc\Shell\open\ddeexec\Application]
40. ""="mIRC"
41. 
42. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC]
43. "DisplayName"="mIRC"
44. 
45. [HKEY_USERS\S-1-5-21-1482476501-1409082233-1417001333-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
46. "C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC"
47. 
48. =========================
49. 
50. Fin à: 23:18:21 le 29/08/2010 ( E.O.F )

archet9 · Answer

---> Télécharge OTM (OldTimer) sur ton Bureau : 
 http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 


--->Clique droit puis" ecécuter en tant qu'admin..." sur "OTMoveIt3.exe"  

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous : 




:files  
"C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC"


:reg
[HKEY_USERS\S-1-5-21-1482476501-1409082233-1417001333-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChatFile\Shell\open\ddeexec\Application]
[HKEY_CLASSES_ROOT\ChatFile\Shell\open\ddeexec\Application] 




:commands 
[purity] 
[emptytemp] 
[reboot] 




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre:
 Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

Voilà j'ai suivi ce que tu m'as demandé de faire, merci de ton aide. Pour être sûr, j'ai copié collé comme tu me l'as indiqué, j'ai cliqué sur " move " , puis sur " YES" pour redémarrer le système, et j'ai copié / collé le fichier .txt. J'ai reboot le pc ensuite. Dois-je refaire la même commande ?

All processes killed 
========== FILES ========== 
File/Folder C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC not found. 
========== REGISTRY ========== 
========== COMMANDS ========== 
  
[EMPTYTEMP] 
  
User: All Users 
  
User: Default User 
->Temp folder emptied: 0 bytes 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
->Temporary Internet Files folder emptied: 33170 bytes 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
->Flash cache emptied: 41620 bytes 
  
User: LocalService 
  
User: Mezzzman 
  
User: NetworkService 
  
%systemdrive% .tmp files removed: 0 bytes 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
%systemroot% .tmp files removed: 2351795 bytes 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
Unable to create HKLM\Software\OldTimer Tools\OTM key. 
%systemroot%\System32 .tmp files removed: 3871232 bytes 
%systemroot%\System32\dllcache .tmp files removed: 0 bytes 
%systemroot%\System32\drivers .tmp files removed: 0 bytes 
Windows Temp folder emptied: 0 bytes 
RecycleBin emptied: 0 bytes 
  
Total Files Cleaned = 6,00 mb 
  
  
OTM by OldTimer - Version 3.1.15.0 log created on 08302010_095556

Utilisateur anonyme · Answer

Ah je tiens à préciser que l'étape " éxécuter en tant que .." m'a posé un problème.

Il m'est mentionné lorsque je coche sur adminisrateur que j'ai des restrictions. J'ai donc activé le compte administrateur, je me suis connecté sur cette session et j'ai répété l'opération que tu m'as dit de faire, j'ai eu le même rapport.

archet9 · Answer

Tu est sous Vista ?

Utilisateur anonyme · Answer

Non sous XP pro

archet9 · Answer

Ta bien collé tout ce texte ds le cadre ? :
Paste Instructions for Items to be Moved. 

:files 
"C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC" 


:reg 
[HKEY_USERS\S-1-5-21-1482476501-1409082233-1417001333-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChatFile\Shell\open\ddeexec\Application] 
[HKEY_CLASSES_ROOT\ChatFile\Shell\open\ddeexec\Application] 




:commands 
[purity] 
[emptytemp] 
[reboot]

Utilisateur anonyme · Answer

Oui oui, mais comme je te l'ai dit j'ai pas réussi à faire ça :  

ecécuter en tant qu'admin..." sur "OTMoveIt3.exe"  

J'ai directement executer sous ma session admin mais pas sur OTMoveIt3.exe car je sais pas où faire ceci.

Je viens de refaire la même chose : 

All processes killed
========== FILES ==========
File/Folder C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC not found.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: LocalService
 
User: Mezzzman
 
User: NetworkService
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3871232 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08302010_132426

archet9 · Answer

Ne tiens pas compte de ça :(ecécuter en tant qu'admin...")

Desinstalle OTMOVEIT et réinstalle le en l'enregistrant sur ton bueau,
et recommence...

Utilisateur anonyme · Answer

Ah mais il faut que je télécharge OTMOVEIT aussi en plus de OTD  car ton lien ne me donne que OTD ?

archet9 · Answer

Non ,juste le lien que je t'ai donné +haut..

Utilisateur anonyme · Answer

En le mettant sur le bureau , j'obtiens le même rapport je crois 

All processes killed
========== FILES ==========
File/Folder C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC not found.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41620 bytes
 
User: LocalService
 
User: Mezzzman
 
User: NetworkService
 
%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2351795 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 3871232 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08302010_185713


J'ai l'impression que le virus apparait de manière aléatoire ou alors il se cache bien, j'ai lançé un scan avec avast, j'ai obtenu 3 menaces du nom de Win32:MalOb-BD , je les ai supprimées. Ont-elles un lien avec le problème ici présent ?

archet9 · Answer

Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage" 

Coche : 
- afficher les fichiers et dossiers cachés 
- Clic sur "appliquer" puis "ok" 

Et recommence OTM

Utilisateur anonyme · Answer

J'obtiens ceci : 

All processes killed
========== FILES ==========
File/Folder C:\Windows	emp\spoolsv\spoolsv.exe"="mIRC not found.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 2622 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 3451716 bytes
->Flash cache emptied: 41620 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Mezzzman
->Temp folder emptied: 86575 bytes
->Temporary Internet Files folder emptied: 101683 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 20807202 bytes
->Flash cache emptied: 5728 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3871232 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 462 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 39015552 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 67,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08302010_192316

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Au redémarrage, mIRC ne s'est pas lançé ... qu'en penses-tu ? Merci de ton aide encore une fois et de ta patience surtout ..

archet9 · Answer

Alors c'est ok....
N'oublie pas de décocher - "afficher les fichiers et dossiers cachés "

Utilisateur anonyme · Answer

Je te remercie de ton aide précieuse, j'aurais jamais pu trouver ça tout seul. En espérant ne plus avoir à refaire à ce virus/malware ..

archet9 · Answer

Pour desinstaller les outils utilisés

Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur") 

Appuie sur le bouton "CleanUp!" 

A la question "begin cleanup process?", réponds "YES" 

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES": 

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit!

MIRC, soupçon d'un virus.

21 réponses

Discussions similaires

Newsletters