VBS:Solow Virus Résolu

Question

Bonjour depuis hier soir le virus VBS:Solow ne lache plus le pc.
Je m'explique j'ai 3pc en reseau 2 sur 3 sont touchés par le virus.
J'ai d'abord fait: Avast (qui detecte 3 virus qui ont ete suprimé) puis Adware puis Ccleaner.Tous me disent maintenant que je n'ai aucun fichier infecté.Le soucis est le suivant
   :La fenete de Avast me disant qu'un virus à été trouvé ne cesse de s'ouvrir impossible de le supprimer de le mettre en quarantaine ou de cliquer sur "Ne rien faire" aucune action s'execute.Le message d'erreur est:
   :avast:Le processus ne peux pas acceder au ficher car ce ficher est utilisé par un autre processeur:Impossible de traiter le ficher "C:/MS32DLL.dll.vbs"
   :Je ne peux plus rentrer dans le disque dur sauf par un clic droit "ouvrir" plein de choses se sont mis fin bref.Je suis allée me renseigner sur des forum une personne donnait un lien en expliquant ce qu'il fallait faire      

Godzilla.remover  puis   

www.infos-du-net.com/telecharger/HijackThis,0301-454.html 

Mais rien ne marche le virus est toujours là 
Merci de m'aider.

Grenouille · Accepted Answer

Salut Nous deux

Je ne sais pas exactement quelles sont les manipulations qui t'on été demandées de faire, mais tu peux toujours essayer cette méthode manuelle de désinfection :

Déconnecte chaques PC du réseau afin que l'infection ne se trimballe pas de l'un à l'autre et ne les reconnectes pas avant d'avoir fais ce qui suit sur chacune des trois machines:

Ouvre le Gestionnaire des tâches:
CTRL+ALT+SUPPR

Dans la liste des processus, selectionne wscript.exe puis clic sur "Terminer le processus".

Rend visible les fichiers cachés et systeme 
panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
 
* Supprime C:\WINDOWS\MS32DLL.dll.vbs
* Supprime C:\MS32DLL.dll.vbs
* Supprime C:\autorun.inf

En cas de problèmes de suppression, vérifier que les fichiers ne soient pas en lecture seule:
Clic droit sur le fichier -> Propriétés et décocher la case "Lecture seule"
Et réessayer de supprimer le fichier.

Ensuite, connecte chaque périphériques externes susceptibles d'avoir été infectés puis ouvre le Poste de travail.
Fais un clic droit >> Explorer sur chaques icônes correspondant à :
Clé USB
Disque dur externe.
Partitions
Etc...
/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.
 
Puis supprime les fichiers autorun.inf and MS32DLL.dll.vbs s'ils sont présents.

Ensuite :
Menu Démarrer -> Exécuter, tape regedit

L'éditeur du registre va s'ouvrir, déploies la clé HKEY_LOCAL_MACHINE en cliquant sur le signe '+' à sa gauche comme ceci:
[-] HKEY_LOCAL_MACHINE
  [-] Software
    [-] Microsoft
      [-] Windows
        [-] Current Version
          [X] Run
Clic sur Run pour le mettre le dossier en surbrillance et dans la partie droite de la fenêtre fais un clic droit sur la valeur MS32DLL (si elle existe) et clic sur Supprimer.
Referme l'éditeur du registre.
   
* Vide la corbeille.
* Recache les fichiers cachés et système.
* Redémarre le pc.

Après redemarrage du pc, vérifie que tu peux acceder normalement à ton disque en double cliquant sur son icône et dis moi si une alerte d'Avast se déclenche à ce moment-là, ou s'il t'alerte toujours sur la présence de MS32DLL.dll.vbs.

Bon courage.

a

NousDeux · Answer

Merci beaucoup je vais essayer ça en esperant que je vais y'arriver :s

anast · Answer

Salut à tous!!

J'avais exactement le même problème que nousdeux. Ca s'était déclenché soudainement ce matin. J'ai suivi les manipulations de grenouille et.... miracle !! ca fait plus de 2 heures que j'ai rallumé mon ordinateur et vbs solow semble avoir disparu!!
Donc je tenais à remercier grenouille pour la clarté de ces informations (accessibles à tous : mm moi g compris :D )

Vive grenouille!!

GAELLE · Answer

BONJOUR A TOUS,
MEME PROBLEME AVEC SOLOW.VBS SEULEMENT w SCRIPT.EXE JE LE TROUVE PAS DANS LE GESTIONNAIRE DES TACHES MAIS YEN A UN RUNDLL32 EST CE QUE CA PEUT ETRE CA 
MERCI BEAUCOUP GAELLE

CanariVeto · Answer

Apparemment, ce virus est apparu aujourd'hui. J'ai été dans le même cas que vous...
La méthode de Grenouille semble efficace à lire les posts précédents...
Pour ma part, il me semble avoir résolu le problème autrement (je croise les doigts, mais c'est réglé depuis 2-3 heures...) :
J'ai lancé un scan minutieux au démarrage de mon ordinateur avec mon antivirus (Avast).
Une cinquantaine de fichiers infectés type VBS/SOLOW ont été détectés, je les ai tous mis en quarantaine.
A la fin de ce scan l'ordinateur a fini son démarrage (il était 16h...) et pas de problèmes depuis.

En espérant que ça en aidera quelques uns...

CanariVeto · Answer

Pardon je rectifie,

Mon ordi avait toujours un problème après le scan d'Avast:
Quand je faisait un double-clic sur le disque dur C:, l'erreur suivante apparaissait: "impossible de trouver le fichier script C:\MS32DLL.dll.vbs" 
De plus dans la barre de navigation IE, apres le titre de chaque page internet était incrusté le message "Hacked by Godzilla"

J'ai alors trouvé la solution à sur cette page!!! enfin!!! ouf! eureka!
http://www.infos-du-net.com/forum/266053-11-godzilla

Allez voir ca vaut le coup surtout si vous aussi vous avez été "hacké par godzilla" et que vous ne pouvez plus ouvrir C: par un double-clic...

Grenouille · Answer

Salut

Regardes cette vidéo ici, ce sera plus parlant que de longues explications :-)

a++

NousDeux · Answer

J'ai bien lu ce que j'avais à faire j'ai donc tenté.J'ai commencé à avoir un soucis au niveau de :

* Supprime C:\WINDOWS\MS32DLL.dll.vbs 
* Supprime C:\MS32DLL.dll.vbs 
* Supprime C:\autorun.inf 

Car je ne trouve pas ces fichiers là.

Puisque cette etapes n'a pas marché je suis passé à la secondes qui à aussi échoué .L'etape avec l'editeur de registre n'a pas marché.La clé ne s'est pas deployé comme celà:

[-] HKEY_LOCAL_MACHINE
  [-] Software
    [-] Microsoft
      [-] Windows
        [-] Current Version
          [X] Run

Je n'avais aucun de ces fichiers là ...


En bref je n'ai pu rien faire mon virus est toujours là et pas de moyen pour m'en debarasser ... Merci à "grenouille" qui m'a quand même bien expliquer les choses.

gaelle · Answer

bonjour bonjour 
comme le message ci dessus, g le meme probleme wscript dans le gestionnaire des taches est introuvable puis les fichiers a supprimer aussi et c vrai que les explications de grenouilles par contre tres claire merci quand meme et si quelqu un a une autre solution

NousDeux · Answer

Re bonjour, ça me rassure un peu, je ne suis pas la seule.
Si quelqu'un a d'autres idées et s'y connait un peu ça serait sympa de pouvoir nous aider.De plus je n'arrive toujours pas à fermer la fenetre d'avast disant que j'ai un virus et j'ai un peu peur d'eteindre ou redemarer le pc ...

Grenouille · Answer

Bonjour,

Nousdeux, à quel moment précis tu as l'alerte d'avast ?
Quand tu essayes d'ouvrir ton disque dur, pendant une analyse ou au démarrage du pc... ?
Sur des fichiers situés dans C:\System Volume Information\... ?

As-tu vidé la quarantaine d'Avast et d'Adaware ?

On va essayer de voir si ces fichiers sont bien présents ou pas dans le pc :

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui est en bleu ci-dessous:
@ echo off

if exist \NOUSDEUX.TXT del \NOUSDEUX.TXT
FOR %%A in (D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\NOUSDEUX.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\NOUSDEUX.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\NOUSDEUX.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
notepad \NOUSDEUX.TXT
exit
Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape nousdeux.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé nousdeux.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier nousdeux.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport.

a+

Grenouille · Answer

Edit:

Petite erreur de frappe, donc je rectifie :

Copie et colle dans le bloc notes ce qui est en bleu ci dessous:

@ echo off

if exist \NOUSDEUX.TXT del \NOUSDEUX.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\NOUSDEUX.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\NOUSDEUX.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\NOUSDEUX.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
notepad \NOUSDEUX.TXT
exit

Désolé :-)

gaelle · Answer

RE BONJOUR POUR VSB:SOLOW QUI BLOQUE L OUVERTURE DE C: PAR DOUBLE CLIC IL FAUT ALLER SUR SE SITE www.security.au.edu ET TELECHARGER KILLMS32.DLL.DLL.VBS PUIS LE LANCER ET A COTE DE L HEURE VA APPARAITRE L ICONE ET LANCERAVEC LE CLIC DROIT  KILL IN COMPUTER REDEMARRER ET NORMALEMENT TOUT SOUVRE CORRECTEMENT BISOUS

Grenouille · Answer

Salut nousdeux, gaelle

Quelques explications sur cette saleté...

Windows utilise le processus wscript.exe pour exécuter les commandes d'un fichier VBS, que ce soit un virus ou pas :-)
Donc dans le cas du ver SOLOW et lorsque l'infection est active, on peut voir dans le gestionnaire des tâches une ou plusieurs occurences du processus wscript.exe et il peut y en avoir plusieurs... autant que vous avez essayé d'ouvrir de périphérique en double cliquant sur leur icône pendant l'infection.

wscript.exe tant qu'il est actif, garde en mémoire le contenu du script du fichier MS32DLL.dll.vbs et exécute ce script toute les 200 secondes.
Par exemple lors d'un scan complet du pc lancé manuellement avec Avast, j'ai eu à plusieurs reprise alors qu'il avait pourtant déjà supprimé les fichiers C:\MS32DLL.dll.vbs et C:\Windows\MS32DLL.dll.vbs des alertes répétitives à intervalles réguliers sur la détection de C:\MS32DLL.dll.vbs et C:\Windows\MS32DLL.dll.vbs !!
Ce problème peut survenir si Avast n'est pas réglé pour effectuer un test de la mémoire au lancement de l'application:
Clic droit sur l'icône d'Avast dans la barre de notification >> réglage du programme >> selectionner "Test de la mémoire au démarrage de l'application"
Si cette option n'est pas cochée, Avast ne détectera pas le script gardé en mémoire et exécuté en boucle par wscript.exe, et ce, malgrès le choix de faire supprimer le fichier infecté à chaque alertes, qui ne résoud pas le problème à la base.

Si cette option est cochée, Avast détecte une infection en mémoire et propose de planifier un scan complet au démarrage du pc, ce qu'il faut accepter comme l'a fait CanariVeto.
Après un redemarrage du pc et juste avant l'apparition du bureau, Avast va lancer son analyse et supprimer les fichiers infectés (à chaque alertes, appuyez sur le choix 1 pour supprimer le fichier détecté.)
Pendant cette phase les fichiers infectés seront détruits ainsi que l'entrée dans le registre chargée de relancer l'infection .


Reste ensuite le problème des fichiers autorun.inf qui ne sont pas détectés par Avast et qui sont responsables du message d'erreur :
"Impossible de trouver le fichier script C:\MS32DLL.dll.vbs" à chaque tentative pour ouvrir le disque dur en double cliquant sur son icône.
Donc (impérativement) après avoir rendu visible les fichiers cachés et système (les deux), sinon autorun.inf reste invisible, il faut faire un clic droit >> Explorer sur l'icône de chaques disques ou périphériques qui renvoient le message d'erreur et supprimer le fichier autorun.inf.
Ensuite il faut absolument redémarrer le pc pour que la modification prenne effet et pouvoir à nouveau réouvrir le DD normalement.(Gaelle tu avais fait cette manip ?)

Reste aussi le titre de la fenêtre d'Internet explorer "Hacked By Godzilla" qui persiste et qu'il est facile de supprimer avec hijackthis:
http://www.merijn.org/files/hijackthis.zip 

Lancez hijackthis et cliquez sur [Do a system scan only]
Cochez la case au début de la ligne suivante:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

valider en cliquant sur le bouton [Fix checked]

La modification prend effet immédiatement.

a++

NousDeux · Answer

Merci beaucoup j'essaie tout ça et j'envoie le rapport ici :-)

NousDeux · Answer

J'ai tout bien fait et voici le rapport :

C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Présent
D:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    VTTimer	REG_SZ	VTTimer.exe
    System Agent	REG_SZ	C:\WINDOWS\system32\chss.exe
    Sunkist2k	REG_SZ	C:\Program Files\Multimedia Card Reader\shwicon2k.exe
    StorageGuard	REG_SZ	"C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    Recguard	REG_SZ	C:\WINDOWS\SMINST\RECGUARD.EXE
    PS2	REG_SZ	C:\WINDOWS\system32\ps2.exe
    nwiz	REG_SZ	nwiz.exe /installquiet /keeploaded /nodetect
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    LXBRKsk	REG_SZ	C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
    Lexmark 3100 Series	REG_SZ	"C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
    KBD	REG_SZ	C:\HP\KBD\KBD.EXE
    IntelliType	REG_SZ	"C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
    hpsysdrv	REG_SZ	c:\windows\system\hpsysdrv.exe
    HPHUPD05	REG_SZ	c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    HPHmon05	REG_SZ	C:\WINDOWS\System32\hphmon05.exe
    HotKeysCmds	REG_SZ	C:\WINDOWS\System32\hkcmd.exe
    Creative WebCam Tray	REG_SZ	C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    CamMonitor	REG_SZ	c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    ATIPTA	REG_SZ	C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    AlcxMonitor	REG_SZ	ALCXMNTR.EXE
    BTUSRBDG	REG_SZ	BtUsrBdg.exe
    BTSETBOOTKEY	REG_SZ	BTSetBootKey.exe
    Controleur de calendrier pour Ulead Photo Express	REG_SZ	C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
    OM_Monitor	REG_SZ	C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    NVIEW	REG_SZ	rundll32.exe nview.dll,nViewLoadHook
    MoneyAgent	REG_SZ	"c:\Program Files\Microsoft Money\System\mnyexpr.exe"
    OM_Monitor	REG_SZ	C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
    SweetIM	REG_SZ	C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    SplitCam	REG_SZ	C:\Program Files\SplitCam\SplitCam.exe /play
    BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}	REG_SZ	"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    msnmsgr	REG_SZ	~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background


PS: la fenètre d'avast reste tout au long de la journée puisque impossible de supprimer, de mettre en quarantaine ou "ne rien faire". Et au sujet d'avast, pour mon cas je n'ai jamais eu une demande de scan à chaque démarrage de mon pc pourtant la case est bien cochée. Avant de faire les dernières manipulations que tu nous as conseillées j'attend ta conclusion pour le rapport. Merci d'avance.

Grenouille · Answer

Salut

Le petit script que je t'ai fait exécuter a détecté un fichier autorun.inf dans le disque D:\
D:\ C'est la lettre qui correspond à ton lecteur/graveur de cd ?
Tu as un CD/DVD à l'intérieur ?
J'aimerais en être sur avant de poursuivre dans les manipulations.

Ensuite, essaye ceci pour calmer temporairement la fenêtre d'alerte.:
Clic droit sur l'icône d'Avast dans la barre de notification >>Arréter la protection résidente.

à plus tard !

gaelle · Answer

re a tous le monde 
g encore un nouveaux souci maintenant avast detecte ceci 
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP138\A0028837.vbs

Grenouille · Answer

Salut  Gaelle

Ca correspond à un point de restauration système infecté.
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système 
puis cocher "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider
et reactive là :
Clic droit sur poste de travail > propriétés > onglet restauration système 
puis décocher "désactiver la restauration système sur tous les lecteurs".

Le fait de désactiver et réactiver la restauration système détruit tous les points de restauration existant, y compris celui détecté par ton AV.
Ensuite tu peux créer toi même un nouveau point de restauration:
Demarrer >> executer tape msconfig
et valide.
Clic sur "executer la restauration systeme"
Puis clic sur "créer un point de restauration".
et laisse toi guider.
Ca te permettra d'être sure d'avoir à disposition un point de restauration sain  le jour ou tu en aura besoin :-).

a++

gaelle · Answer

voila le rapport d analyse merci d avance 


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	17:51:52 04/05/2007

 + Résultat de l'analyse:	



C:\Program Files\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Aucune action entreprise.
:mozilla.21:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.23:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.24:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.25:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.26:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.27:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.105:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.90:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.91:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.92:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.63:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\ohannes\Cookies\ohannes@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.51:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\ohannes\Cookies\ohannes@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.72:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.73:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.74:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.16:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Cqcounter : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\ohannes\Cookies\ohannes@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.17:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
:mozilla.52:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
:mozilla.94:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Paypal : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.37:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.38:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.39:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.40:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.41:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.48:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.49:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.50:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.115:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Toplist : Aucune action entreprise.
:mozilla.66:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\ohannes\Cookies\ohannes@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.57:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.58:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.59:C:\Documents and Settings\ohannes\Application Data\Mozilla\Firefox\Profiles\ct6wjfjm.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


Fin du rapport

Grenouille · Answer

RAS, ce ne sont que des cookies, qu'a détecté AVG.

Pour DAEMON Tool, le programme d'installation est détecté positif par AVG car il contient un spyware, tu te souviens si tu as refusé ou accepté un sponsor/partenaire lors de son installation  ou coché  la case "DAEMON Tool Searchbar"
Apparement je ne crois pas, sinon AVG l'aurais détecté, mais vérifie quand même si tu as un dossier :
C:\Program files\DAEMON_Tools_WhenUSaveNow_Installer
ou 
C:\Program files\WhenUSaveNow

Sinon tu peux supprimer sans problème les cookies ainsi que ce fichier :
C:\Program Files\DAEMON Tools\SetupDTSB.exe

a++

GAELLE · Answer

RE 
MERCI GRENOUILLE C COOL GROS BISOUS BISOUS
JE VAIS FAIRE CA ET JE TIEN AU COURANT MERCI

NousDeux · Answer

Re Grenouille. Alors Le (D:) n'est pas mon lecteur cd. J'ai un HP et j'ai donc deux disque dur : Disque local (C:) et HP_RECOVERY (D:)

Grenouille · Answer

Merci pour la précision :-).

Donc deux possibilités, soit tu supprime le fichier :

Manuellement:
- Rends visible les fichiers cachés et système
- Clic droit sur l'icône D:\ >> Explorer
- Supprime le fichier autorun.inf

ou via l'invite de commande:
- Démarrer >> Exécuter >> Tape cmd
- Dans la fenêtre qui s'ouvrira copie et colle ceci:
del /f D:\autorun.inf
Et valide avec la touche Entrée

Ensuite, quelque soit la méthode de suppression que tu auras choisis:
Clic droit sur l'icône d'Avast dans la barre de notification >> démarrer Avast antivirus
Dans la fenêtre du programme, clic sur l'icône en haut à gauche (celle qui ressemble au symbole Eject sur un lecteur cd)
Puis clic sur "Planifier un scan au démarrage" et valide.
Avast va te demander si tu veux qu'il redemarre le pc, accepte.
S'il ne redemarre pas automatiquement, redemarre toi même manuellement le pc (demarrer > arreter l'ordinateur > redemarrer).
Au redemarrage du pc et juste avant que n'apparaisse le bureau, Avast lancera une analyse approfondie.
S'il détecte quelque chose, il te demandera d'appliquer un choix, choisis 1 pour supprimer.

Une fois l'analyse terminée et de retour sur le bureau, recherche et copie et colle ici le contenu du fichier:
C:\Program Files\Alwil Software\Avast4\DATA\report\AswBoot.log
(c'est le compte rendu de l'analyse)
Puis dis moi si la fenêtre d'alerte persiste et  si tu as toujours un message d'erreur en double cliquant pour ouvrir ton DD.

Bon courage !

a+

owaies · Answer

grenouille j ai une questions?? PENSE tu que si j instalais l ancien avast a la place du nouveau mon probleme sera t il resolu,meme si je n ai aucun virus de detecté.mais prq cette fenetre s affiche t elle vain diou.je veux qu elle parte.bisous a toi,je crois que j suis nul de nul,je n arrive a rien,meme pas capable d enlever cette fenetre.pffffff j suis deplorable,mais tellement perdue.bisous a toi ptite grenouille,si tu a encore un peu de patience...........
BEA

owaies · Answer

VIVE GRENOUILLE le roi est la!!!!!!!!!!!!!!!!!!!!!!
merci ma ptite grenouille j ai oter le fichier auto j sais plus quoi,if j crois,mdr.est super je clique sur C tout va bien depuis.mais mon ordi risque t il d etre vulnerable??? prefere t il pas l ancien avast o nouveau???depuis que je l ai le nouveau j ai jamais u autant de virus,100 dans la meme nuit,alors que l ancien ,non.bisous mon ptit loulou grenouille.je te garde sous le coude,t trop top.
bea

Grenouille · Answer

Coucou Béa

Lol, content pour toi :-)
Tu vois... Ta perséverence a payé !!

Bah, ancienne ou nouvelle version du programme, les définitions de virus sont les mêmes pour tout les deux, donc je vois pas trop l'intérêt de repasser à l'ancienne version d'Avast.
Fais surtout attention ou tu surfes et à ce que tu télécharges ;-)

Apparement la méthode de suppression manuelle a l'air de poser quelques petits soucis, et dans l'affolement elle n'a pas l'air d'être encore assez claire.
Ce serait bien si les personnes qui comme toi on été infecté par SOLOW, pouvait dire ce qui a marché ou pas dans cette méthode et apporter les détails et rectifications qui leur on permis de s'en débarrasser pour l'affiner.

En attendant, vous avez disponible ici une vidéo qui montre étape par étape comment virer ce ver.
En espérant que ça servira.

a++

NousDeux · Answer

J'ai effectué tout ce que tu as dit grenouille ... J'ai donc supprimé autorun.inf et fais le scan et depuis plus rien. Merci pour ton aide car maintenant les deux pc marche correctement.

Je met la discussion en "problème résolu"

Grenouille · Answer

Salut NousDeux,

Content pour toi.

Une dernière chose, il y a un fichier qui se lance au démarrage de ton pc et pour lequel je ne trouve pratiquement aucune références sur le net:
C:\WINDOWS\system32\chss.exe
Ce serait bien si tu pouvais le faire analyser ici:
http://www.virustotal.com/en/virustotalx.html
Sur le site, clic sur "Parcourir" et selectionne
C:\WINDOWS\system32\chss.exe
Valide puis clic sur "Send" pour uploader le fichier.
Il sera simultanément analysé par une trentaine d'antivirus.
Ensuite copie et colle le rapport ici.

a++

NousDeux · Answer

Coucou Grenouille et merci encore pour ton aide, j'ai donc fait ce que tu as ecrit et voilà le rapport.


Antivirus Version Update Result 
AhnLab-V3 2007.5.4.0 05.04.2007  no virus found 
AntiVir 7.4.0.15 05.05.2007 HEUR/Malware 
Authentium 4.93.8 05.04.2007 Possibly a new variant of W32/Dlr-Trojan-Malware-based!Maximus 
Avast 4.7.997.0 05.05.2007  no virus found 
AVG 7.5.0.467 05.04.2007  no virus found 
BitDefender 7.2 05.05.2007 Generic.Malware.SIdld!.ADA4C1A6 
CAT-QuickHeal 9.00 05.05.2007 (Suspicious) - DNAScan 
ClamAV devel-20070416 05.05.2007  no virus found 
DrWeb 4.33 05.04.2007  no virus found 
eSafe 7.0.15.0 05.03.2007 suspicious Trojan/Worm 
eTrust-Vet 30.7.3614 05.04.2007  no virus found 
Ewido 4.0 05.05.2007  no virus found 
FileAdvisor 1 05.05.2007  no virus found 
Fortinet 2.85.0.0 05.05.2007 suspicious 
F-Prot 4.3.2.48 05.04.2007 W32/Downloader-Sml-based!Maximus 
F-Secure 6.70.13030.0 05.05.2007 W32/Suspicious_F.gen 
Ikarus T3.1.1.7 05.05.2007  no virus found 
Kaspersky 4.0.2.24 05.05.2007  no virus found 
McAfee 5024 05.04.2007 New Malware.cm 
Microsoft 1.2503 05.05.2007  no virus found 
NOD32v2 2242 05.05.2007 probably unknown NewHeur_PE virus 
Norman 5.80.02 05.04.2007 W32/Suspicious_F.gen 
Panda 9.0.0.4 05.04.2007 Suspicious file 
Prevx1 V2 05.05.2007  no virus found 
Sophos 4.17.0 05.04.2007 Mal/Behav-044 
Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious 
Symantec 10 05.05.2007  no virus found 
TheHacker 6.1.6.104 04.15.2007  no virus found 
VBA32 3.11.4 05.04.2007  no virus found 
VirusBuster 4.3.7:9 05.04.2007 Packed/FSG 
Webwasher-Gateway 6.0.1 05.05.2007 Heuristic.Malware 


Aditional Information 
File size: 6096 bytes 
MD5: 3c53daefb6a7be0e9f9e5b850acc2ef5 
SHA1: bf62557ed17260d708399f04d17c4b7a2897e633 
packers: FSG 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 


J'attends ta conclusion, merci d'avance.

Grenouille · Answer

Coucou NousDeux

De rien :-).

Le fichier est infecté :-(
Est-ce que tu peux m'en envoyer une copie pour tests ici:
rdwarwsn@ephemail.net
Car il y a très peu d'information sur ce trojan.
Merci d'avance.

Une fois que tu auras supprimé C:\WINDOWS\system32\chss.exe, télécharge hijackthis ici:
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
Decompresse-le (clic droit > extraire tout) sur ton bureau.
Lance hijackthis.exe et clic sur  [Open the misc tools section]
A coté du bouton [Générate startuplist log]
coche les 2 cases
puis clic sur  [Générate startuplist log]
copie et colle le rapport ici.

Si tu as du temps devant toi, se serait bien de pouvoir faire un scan AV complet de ton pc chez Bitdefender:
https://www.bitdefender.com/toolbox/
Poste aussi le rapport dès que tu auras trouvé le temps nécessaire :-)

a++

NousDeux · Answer

D'accord je vais faire tout ça maintenant parcontre qu'entends tu par :

envoyer une copie pour tests 

Suite à ta reponse je t'envoie donc ça ici : rdwarwsn@ephemail.net ???

Grenouille · Answer

En fait, j'aimerais pouvoir tester ce que fait exactement ce malware sur un Pc virtuel (Vmware), et donc en conscéquence en fonction des résultats t'aiguiller au mieux pour des manip éventuelles de désinfection.
Maintenant je comprendrais très bien que tu ne le fasse pas et si ca te pose un problème particulier, ne m'envoies pas ce fichier.
Le scan de bitdefender sera peut-être suffisant.

Sinon, l'adresse rdwarwsn@ephemail.net est valable 24h, j'ai utilisé  une adresse mail jetable pour ne pas  mettre ma véritable adresse mail sur un forum...
Je suppose que tu comprendras aisément pourquoi lol...

a++

NousDeux · Answer

Ok j'envoie tout ça mais en fait ce que j'ai pas compris c'est la copie de quoi ??? j'attends ta reponse et j'envoie tout ça a l'adresse que tu donnes là.merci encore

Grenouille · Answer

Bah, une copie du fichier C:\WINDOWS\system32\chss.exe
Ensuite tu pourras supprimer ce fichier et sa copie.

Envois le ici:
grenouille@trashmail.net
Car je me suis apperçu que l'autre adresse ne fonctionnait pas...

a+

NousDeux · Answer

Voilà c'est envoyé :-)

Grenouille · Answer

Merci, c'est reçu ! :-)
Je te tiens au courant dès que possible.

a+

Grenouille · Answer

Salut NousDeux

Me revoici avec quelques infos:

Confirmation, le fichier a beau être signé Microsoft, c'est bien un troyen.

Déjà bonne nouvelle, il ne télécharge aucune autre infection et ne crée aucun autre fichier infectieux.
Ce truc se connecte sur IRC ou messageries instantanées correspondantes via le port 6667 à destination de diverses adresses IP.
Là, avec certaines infos récupérées sur ton pc comme le nom de l'ordinateur, il se logue régulièrement sous le nick (pseudo) chew17648209 sur un chan (salon privé) ou il attend des instructions.
Voilà un exemple de tentative de connexion:
PONG :Tampa.FL.US.Undernet.org
NOTICE AUTH :*** Looking up your hostname
NOTICE AUTH :*** Looking up your hostname
NOTICE AUTH :*** Checking Ident
NOTICE AUTH :*** Found your hostname
NOTICE AUTH :*** Checking Ident
NOTICE AUTH :*** Found your hostname
USER chewtoy . . grenouille-op3ulkto7ohNICK chew1764820992PING :1269888182
PONG :1269888182
Apparement pendant le test, c'est un certain gkioquc!synnmh qui est sorti du bois lol,
Le message envoyé:  hi.. i'm isabelle my photo > hxxp://www.chatchut.com/isabelle.jpg 
:gkioquc!synnmh@80-219-180-202.dclient.hispeed.ch PRIVMSG chew17648209 :hi.. i'm isabelle my photo > hxxp://www.chatchut.com/isabelle.jpg
Je suppose que ce type de troyen est codé pour que sous un certain type de messagerie instantané, tu recoives sans savoir d'ou ça viens, un message t'invitant à télécharger un fichier, il y a fort à parier... vérolé.
Le lien vers "l'image" hébergée sur un site porno turc n'est plus accessible aujourd'hui, heureusement.

Pour en revenir à nos moutons lol, si tu as déjà supprimé ce fichier il va falloir aussi supprimer l'entrée dans le registre inscrite par ce troyen pour se relancer à chaque démarrage du pc :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Agent"="C:\WINDOWS\system32\chss.exe" 

Donc, dans un premier temps, poste un rapport hijackthis (et celui de bitdef si tu as eu le temps de faire scanner ton pc)  et ensuite je t'indiquerais comment faire pour supprimer cette entrée.

a++

NousDeux · Answer

Re coucou 
Mdrr bien dis donc ils vient de loin celui là ... :s 
Mouai pas cool en gros.Je fais ça desuite j'envoie tout ça ici.Merci encore :-)

Grenouille · Answer

Bah, je sais pas d'ou il vient, mais en tout cas il n'ira pas plus loin, ça c'est clair !  lol.

Au fait, tu as pu supprimer le fichier sans problèmes ?

ad'taleur.

NousDeux · Answer

Je ne peux pas supprimer le ficher C:\WINDOWS\system32\chss.exe 

Message:Impossible de supprimer chss:Accès refusé.Verifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement.

Comment je fais ??? Est ce que je fais quand même hijackthis  et bitdef et comment ça se fait que je ne puisse pas le supprimer ??? dsl de t'embeter avec mes question :s

Merci

Grenouille · Answer

oui tu peux faire le hijackthis, pas de problèmes.

T'inquiète, c'est pour cette raison que je te posais la question car il faut passer par une petite astuce pour pouvoir le supprimer :-)

Il faut d'abord que tu "kille" chss.exe dans le gestionnaire des tâches:
Appuies simultanément sur CTRL+ALT+SUPPR pour ouvrir  le gestionnaire des tâches.
Dans la liste des processus, selectionne chss.exe et clique sur "terminer le processus"
Une fois fait, tu pourras supprimer chss.exe sans soucis.

Ensuite fais le scan chez bitdef si tu as une petite heure devant toi :-)

a+

NousDeux · Answer

Voilà j'ai pu supprimer le fichier sans soucis :-)  
je fais le scan chez bitdef desuite.Merci encore beaucoup :-)

Grenouille · Answer

Ok, je repasserais demain voir si tu as  posté le rapport bitdef et hijackthis.
On verra ce qu'il reste à faire en fonction des résultats des deux rapports.

Douce nuit.

Grenouille · Answer

Salut NousDeux, owaies, nénette

Lol, ça devient difficile de ne pas se mélanger les pinceaux :-)

Owaies, 
Bah non, j'ai pas vu ton message :-s, il est ou ?
De rien, ça me fait plaisir que ton problème soit réglé :-)
Pour le scan d'Avast, essaye comme ceci:
Clic droit sur l'icône d'Avast dans la barre de notification à côté de l'horloge >> démarrer Avast antivirus
Dans la fenêtre du programme, clic sur l'icône en haut à gauche (celle qui ressemble au symbole Eject sur un lecteur cd)
Puis clic sur "Planifier un scan au démarrage" et valide.
Avast va te demander si tu veux qu'il redemarre le pc, accepte.
S'il ne redemarre pas automatiquement, redemarre toi même manuellement le pc (demarrer > arreter l'ordinateur > redemarrer).
Au redemarrage du pc et juste avant que n'apparaisse le bureau, Avast lancera une analyse approfondie.
S'il détecte quelque chose, il te demandera d'appliquer un choix, choisis 1 pour supprimer.

Nenette,
Vide la quarantaine d'Avast, si tu ne l'as pas déjà fait.
Pour le fix dont tu parles, killms32dll.vbs.exe, penses lorsque tu feras scanner tes clés, à supprimer manuellement les fichiers MS32DLL.dll.vbs car l'outil ne les supprime pas automatiquement.
A propos de cet outil, est-ce que chez toi il se lance à chaque redémarrage du pc (à côté de l'horloge) car apparement l'auteur de cet outil n'a pas prévu de le désactiver du démarrage après nettoyage...
a++

Et enfin... A NousDeux, lol
Tu as pu faire les scans ?
Tu peux au moins poster le rapport hijackthis en attendant ?

a++

Grenouille · Answer

Solow A.

Hacked By Godzilla: "My name is Slow but sure V0.04"


Suppression avec outils de désinfection :


L'outil Flash_Disinfector de sUBs:

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message:  "Done!!"
Appuyez sur  "Ok", pour faire réapparaitre le bureau.

Pour info:
Le plus efficace actuellement.
Flash_Disinfector laisse des leurres afin d'éviter l'exécution automatique en cas de réinfection, il s'agit de dossiers portant le nom trompeur autorun.inf et contenant un fichier texte "Who created this folder.txt"
Si il y a réinfection, le ver crée pas les fichiers autorun.inf sensés lui garantir sa propagation par un simple double clic sur l'icone d'un périphérique, à cause de ces leurres.
Ce qui évite le message d'erreur "Impossible de trouver le fichier script C:\MS32DLL.dll.vbs" tout en conservant l'accès normal au disque et sans risques.
Ces dossiers (cachés) peuvent être au choix conservés ou supprimés selon la certitude que l'infection est définitivement éradiqué (Après scan AV complet par exemple...).


L'outil Kill MS32dll.dll.vbs.exe

http://www.security.au.edu/download/Kill%20MS32dll.dll.vbs.exe

Utilisation:
Une fois lancé, l'icône de l'outil apparait dans la barre de notification juste à côté de l'horloge.
Un clic droit sur cette icône propose deux choix:
  
-  Kill in Thumb drive...
-  Kill in Computer...

Le premier choix permet de scanner et nettoyer les périphériques USB connectés.
Le second scanne et nettoie le disque dur principal uniquement, sans toucher aux partitons/DD internes supplémentaires qu'il faudra nettoyer manuellement.

Pour info:
Le fix pendant les divers tests n'a pas systématiquement supprimé le fichier C:\WINDOWS\MS32DLL.dll.vbs et C:\MS32DLL.dll.vbs.
Par contre il permet d'épauler un nettoyage manuel en permettant d'accéder par double-clic aux disques/périfs USB sans que l'infection ne soit relancé.
Petit bémol, le fix se lance à chaque redémarrages et aucune fonction n'est prévue pour le désactiver:
Exemple de ce paramètre visible dans un rapport hijackthis:

O4 - HKCU\..\Run: [protect_autorun] C:\Documents and Settings\Grenouille\Bureau\Kill MS32dll.dll.vbs.exe /start

Et il désactive aussi dans le registre l'Autorun, Lecteur CD/DVD y compris...
La clé modifié est la suivante:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
La valeur NoDriveTypeAutoRun dont la donnée par défaut est: 95 00 00 00 est modifié par l'outil à FF 00 00 00
A réserver aux utilisateur avertis...


L'outil NOD32 VBS[Butsur.A]-Fix.exe :

http://www.softbkk.com/downloads/dl1/10304/NOD32%20VBS%5BButsur.A%5D-Fix.exe 

Utilisation:
Lancez NOD32 VBS[Butsur.A]-Fix.exe et cliquez sur "I Agree" pour accepter les termes d'avertissement.
Dans la fenêtre suivante, décochez la case "Scan and clean with NOD32", sauf si NOD32 est votre antivirus résident, puis validez en cliquant sur "Do it now"
Les fichiers suivants seront supprimés du disque ou est installé Windows:

C:\WINDOWS\MS32DLL.dll.vbs
C:\MS32DLL.dll.vbs
C:\autorun.inf

Ensuite une fenêtre de type "Explorateur de fichier" va s'ouvrir et c'est à partir de là que vous devrez selectionner un média externe à faire analyser ou second DD interne.
Le fix ne traite qu'un seul média à la fois, donc il faudra relancer le fix autant de fois que vous avez de DD, clé USB...etc à faire scanner.
Cette partie de l'analyse ne supprime que les fichiers autorun.inf et laisse en place les fichiers MS32DLL.dll.vbs qu'il 
faudra supprimer manuellement...

Il existe d'autre removals (3 au moins) mais je ne mettrais pas les liens de téléchargement, l'un, Thaï, n'a pas fonctionné sur ma version de Windows et les deux autres sont des scripts qui restent à tester et pour lesquels il faut regarder de plus près le code.

Sinon dans la série des "Hacked by" de la Barre de Titre d'IE et qui reprennent une très grosse partie du code du fichier MS32DLL.dll.vbs
Il y a:
::  Hacked by UC       : uc.vbs            
::  Hacked by MOOzilla : IISDLL.dll.vbs    
::  TAGA LIPA ARE!     : FS6519.dll.vbs     
::  Hacked by Zay      : r4n694-24y.dll.vbs 
::  .MS32DLL.dll.vbs
::  insanux            : insanux.vbs
Et les cas particuliers et plus virulent que sont:
The silent man / kerneldrive.exe
Puis surtout:
Hacked by 1 byte
Hacked by 8Bit / kernel32.dll.vbs
Hacked by xxx
Qui possèdent d'ailleur un removal tool dédié et édité par Bitdefender Thaïlande, pays ou ces variantes plus évolués semblent les plus actives à l'heure actuelle.
Téléchargeable ici:
http://www.bitdefenderthailand.com/uploads/AntiVB-8Bit.zip

==========================================

Suppression manuelle:

Si vous avez le moindre doute ou une difficulté à comprendre comment procéder pour une étape de la procédure qui va suivre, vous pouvez télécharger et visionner cette vidéo (2,75Mo) qui montre en temps réel chaques étapes de la désinfection de Solow.A.

1/
Ouvrez le Gestionnaire des tâches:
CTRL+ALT+SUPPR

Dans la liste des processus, selectionner toute les occurences de wscript.exe puis cliquer sur "Terminer le processus" pour  toute celles trouvées.
Si wscript.exe n'est pas présent dans le gestionnaire des tâches, passez à l'étape suivante.

2/
Ensuite important, rendre visible les fichiers cachés et système, sinon les fichiers infectés resteront "introuvables":
Panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

3/
Connecter chaque périphériques externes susceptibles d'avoir été infectés: 
- Clé USB
- Disque dur externe.
- Ipod
Etc...

/!\ A partir de maintenant, ne double cliquez surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, sous peine de relancer l'infection.

4/
Ouvrir le Poste de travail.
Faites un clic droit >> Explorer sur l'icône du disque dur principal ou est installé Windows :

* Supprimer si présent: 

C:\WINDOWS\MS32DLL.dll.vbs
C:\MS32DLL.dll.vbs
C:\autorun.inf

En cas de problèmes de suppression, vérifiez que les fichiers ne soient pas en lecture seule:
Clic droit sur le fichier -> Propriétés et décocher la case "Lecture seule"
Et réessayez de supprimer le fichier.

5/
Revenez sur le Poste de travail et faites un:

Clic droit >> Explorer sur chacunes des icônes représantant vos partitions et périphériques externes.

* Supprimez si présent:

MS32DLL.dll.vbs
autorun.inf

Si tout s'est bien passé jusque là, l'infection est totalement supprimée.

6/
Reste ensuite 3 choses à corriger:

L'entrée dans le registre qui permettait au ver de se réactiver à chaque démarrage du pc et le titre de la fenêtre d'Internet explorer "Hacked By Godzilla" qui persiste.

Pour y remédier, téléchargez HijackThis:
http://www.merijn.org/files/hijackthis.zip

Lancez hijackthis et cliquez sur [Do a system scan only]
Cochez la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
validez en cliquant sur le bouton [Fix checked]

La modification prendra effet immédiatement.
  
"Impossible de trouver le fichier script C:\MS32DLL.dll.vbs"
Après désinfection, ce message peut persister tant que vous n'aurez pas redémaré le PC, et à chaque tentative pour ouvrir le disque dur en double cliquant sur son icône.
Donc soit vous redémarrez le pc ou bien vous pouvez utiliser cette petite astuce qui permet d'éviter un redémarrage:

Ouvrez le Gestionnaire des tâches et gardez sa fenêtre ouverte : CTRL+ALT+SUPPR
Dans la liste des processus, selectionnez explorer.exe et cliquez sur "Terminer le processus"
Dans le menu "Fichier" du gestionnaire des tâches, cliquez sur "Nouvelle tâche (exécuter)"
Tapez explorer.exe et validez.

Vos disques/périphériques seront à nouveau et immédiatement accessibles par un double-clic.
Si le problème persiste, c'est que vous avez du surement oublier de supprimer un fichier autorun.inf, dans ce cas revérifiez saprésence sur le lecteur qui pose problème en reprenantla manip du début.

N'oubliez pas ensuite de: 
* Vider la corbeille :-).
* Recacher les fichiers cachés et système.
* Faire une analyse antivirus complète de votre PC.


Bon courage et bonne désinfection :-)

PS:
Holdup, j'espère que ça répondra à ta question :-)

Max1386 · Answer

Merci pour avoir tout indiquer pour le virus "MS32DLL.dll.vbs".
J'ai suivi à la lettre ce que Grenouille a conseillé et ca marche!
Depuis des mois, je cherché comment faire pour ouvrir mes disques durs car ils ne s’ouvraient plus au double click à cause de ce virus!
Ce site est très enrichissant.
A conseiller

gege · Answer

Salut Grenouille !!!

Merci !! J'avais le même problème que nousdeux et j'ai suivi tes indications hier soir : "hacked by Godzila" a disparu et j'arrive de nouveau à ouvrir mes deux disques durs C: et D: en double clikant.

Mais voilà, aujourd'hui, j'ai finalisé le scan d'Avast et dans "résultats du dernier scan", on m'indique 820 fichiers infectés qui se situent tous dans C:\system volume information et dans D:\system volume information. voilà un exemple: C:\System Volume Information\_restore{D583BB03-B516-41AA-A9A3-E875EB12CE49}\RP177\A0017572.vbs
Ce sont tous des fichiers .vbs

Peux tu m'aider stp ????

Gégé

Carpette · Answer

Gege, pour te repondre, je cite Grenouille (etonnant non ?)

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider
et reactive là :
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher "désactiver la restauration système sur tous les lecteurs".

Le fait de désactiver et réactiver la restauration système détruit tous les points de restauration existant, y compris celui détecté par ton AV.
Ensuite tu peux créer toi même un nouveau point de restauration:
Demarrer >> executer tape msconfig
et valide.
Clic sur "executer la restauration systeme"
Puis clic sur "créer un point de restauration".
et laisse toi guider.
Ca te permettra d'être sure d'avoir à disposition un point de restauration sain le jour ou tu en aura besoin

Voila, ca devrais marcher.

Sinon, je viens de lire tout le fil de discussion, et malheuresement pour moi, j'avais deja fait tout ceci sans que ca regle defnitivement mon probleme.
J'ai eu la plupart des fichiers annonces plus haut, et mon probleme actuel viens du fait que je travaille sur un disque externe (de 400Go, ca me ferait mal de perdre mes donnees), et l'acces en lecture a celui ci m'est refuse des que je tente de modifier des fichiers dessus.
C'est a dire que tant que je lis mes fichiers de musique, de video, ou tout autre fichier, tant que ca reste de la lecture, c'est bon, mais des que j'essaie de modifier quoi que ce soit, le contenu du disque se volatilise, et je dois le deconnecter/reconnecter pour le revoir.

De meme, lorsque je tentes un chkdsk, une analyse anti-virus, ou une analyse avec spybot ...

Je seche completement, je ne suis pas sur qu'il s'agisse de Solow comme vers, mais c'est le seul nom qui est apparu dans mes releve de desinfection de virus.

En epserant que quelqu'un ai une solution ...

moe · Answer

Salut carpette

Bah, pas de solution concrètes à te proposer, désolé, mais les infos qui reviennent le plus souvent concernant ton message d'erreur font état le plus souvent d'un problème physique du DD et pas du résultat du à une infection.
Soit ton DD est en train de te lacher, soit les erreurs et corruption en masse empêchent son fonctionnement normal.
Le message est apparu au début de l'infection par Solow ?

Tu as le même résultat (accès en lecture) en mode sans échec ou en connectant le DD sur un autre pc voire en changeant de cable USB ?
Est-ce que tu as essayé de faire un chkdsk pour ton DD en mode sans échec ?
Et/ou est-ce que tu as essayé d'aller sur le site du constructeur du DD, pour voir s'ils proposent un outil de diagnostic/réparation spécifique à la marque ?

Si tu souhaites vraiment explorer la piste virus, je veux bien t'aider à vérifier s'il y a une infection active, mais sache que ce ne sera pas facile d'entreprendre des actions sur ton DD externe s'il n'est accessible qu'en lecture... 

Tu peux déjà dans un premier temps, poster le rapport de ton AV qui mentionne Solow puis télécharger et poster un rapport hijackthis.
http://www.merijn.org/files/hijackthis.zip
Decompresses-le (clic droit >> Extraire tout) dans un dossier que tu auras crée pour l'occasion.
Par exemple C:\hijackthis

Lance hijackthis, clic sur [Open the misc tools section]
A coté du bouton [Générate startuplist log]
Coche les 2 cases puis clic sur [Générate startuplist log]
Le bloc-notes va s'ouvrir, fais un copier coller de son contenu sur le forum.

Bon courage.

moe/Grenouille

moe · Answer

Salut carpette

Bon, voilà le topo suite au rapport hijackthis (pas de quoi encourager ton colon à se calmer lol):

Il n'y a pas de traces d'infection active visible sur C:\  :-(

Par contre, j'ai bien l'impression en lisant ton dernier message que ton problème d'accès en écriture au disque peut se situer plutôt au niveau des droits/autorisations qui elles, ont pu être modifiées afin de limiter les actions sur le DD.
Si le problème n'est pas matériel ça me semble être la piste la plus plausible à explorer en premier.

Je précise "en premier", car si ces droits ont été modifiés, aucun outils et AV y compris ne pourront proposer de rapport ou interragir avec le DD.
C'est d'ailleur ce que tu constatais toi-même dans ton premier message:
"De meme, lorsque je tentes un chkdsk, une analyse anti-virus, ou une analyse avec spybot ..." 

Donc déjà voilà ce que tu peux faire avant de d'aller vérifier les droits du DD:

Menu démarrer > exécuter et tape cmd
Dans la fenêtre de l'invite de commande, copie et colle cette commande ci dessous (tout ce qui est en bleu)
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"/s>>C:\carpette.txt && notepad C:\carpette.txt
Le fichier C:\carpette.txt va s'ouvrir, copie et colle son contenu sur le forum.
Par le biais du listing de cette clé, je veux juste vérifier en premier lieu qu'aucun fichier n'est sensé être exécuté automatiquement lors de l'ouverture de ton DD externe.

Ensuite rend visible les fichiers cachés et système (les deux) dans les options des dossiers du panneau de config et donne moi la liste des fichiers d'extention *.exe *.vbs *.bat présent à la racine de ton DD externe.

Une fois que tu auras posté sur le forum ces résultats, redémarre le pc en mode sans échec pour vérifier les droits d'accès à ton DD externe.

Pour celà, deux méthodes possibles:

Avec la touche F8:
Redémarre le pc normalement et laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  
Dans le menu, choisis le [Mode sans échec] avec les flèches du clavier et valide en appuyant sur la touche [Entrée].
Choisis ton compte d'utilisateur pour ouvrir la session.

Soit en utilisant MSCONFIG:
Demarrer >> exécuter et tape:   msconfig
Puis valide.
Dans la fenêtre qui vient de s'ouvrir, clic sur l'onglet [BOOT.ini], puis coche la case devant  [X] "/SAFEBOOT"
valide et accepte le redémarrage du pc, il redemarrera automatiquement en mode sans échec.
Choisis ton compte d'utilisateur pour ouvrir la session.

/!\ Attention, une fois que tu auras fini les diverses manips sans Mode sans échec, il faudra absolument avant de redemarrer, repasser par msconfig pour selectionner le redemarrage normal du pc.
Demarrer >> exécuter et tape: msconfig
Dans la fenêtre qui vient de s'ouvrir, clic sur l'onglet [Général] et coche "Démarrage normal"
Puis valide et accepte le redemarrage du pc.

En mode sans échec:
Fais un clic droit sur l'icône de ton DD externe, clic sur "Propriétés" puis sur l'onglet "Sécurité"

Dans la fenêtre qui s'ouvrira, vérifie ceci:
Pour chacun des groupes d'utilisateurs listés (administrateur, system etc...), clique sur leur nom dans la liste pour les mettre en surbrillance et dis moi lesquels ont la case [contrôle total] de coché. (capture d'écran)
(Normalement ce doit être le cas au minimum pour le groupe Administrateur et System)

Pour chacun des groupes d'utilisateurs possédants le contrôle total que tu auras trouvé, clic sur [Paramètres avancés]
Sélectionne le groupe en question dans la liste et clic sur [Modifier]
(capture d'écran)
Et vérifie dans la fenêtre qui s'ouvrira que là aussi le contrôle total soit bien selectionné.
(capture d'écran)

Ne touche pas au droits d'accès pour l'instant, mais note juste toute les infos demandées et poste les dans ton prochain message.
En mode sans échec tu n'auras pas accès au net, donc imprime, ou enregistre sur le bureau la manip dans un fichier *.txt pour etre sur(e) de ne pas louper d'étapes si tu n'es pas à l'aise avec ce genre de manips.

Voilà, voilà, j'espère qu'on approche de la solution, car hier en jouant avec les autorisations sur un DD j'ai eu droit au même message que toi lors de la tentative de création d'un fichier:
" Le fichier gnagnagna.txt ne peut pas être crée ...blablabla... Acces denied "

C'est plutôt encourageant et ça pourrais écarter la piste matérielle... 


Bon courage.

a+

Lyonnais92 · Answer

Bonjour,

juste pour suivre (et apprendre).
Merci.

moe · Answer

Salut Carpette

On va pas lâcher l'affaire aussi vite.

On va se passer de la ligne de commande, rends toi directement dans le registre:
Démarrer > Exécuter tapes regedit
Déploies:
[+] HKEY_CURRENT_USER
  [+] Software
    [+] Microsoft
      [+] Windows
        [+] CurrentVersion
          [+] Explorer
Fais un clic droit sur MountPoints2 et clic sur exporter.
Donne un nom au fichier et dans "type" choisis le format texte.
Copie et colle le contenu de ce fichier ici.
Si cette sous-clé (MountPoints2 ) n'existe pas là il y aura vraiment problème lol.

Pour l'onglet sécurité, je me suis relus et ma manip comporte une erreur de taille, désolé pour cette erreur et effectivement je comprends pourquoi tu n'as pas trouvé l'onglet sécurité.
Donc voilà la rectification:
Si tu as Windows XP Edition Familiale il faut absolument quand tu redémarres en mode sans échec, que tu ouvres la session avec le compte nommé "Administrateur" ou "Propriétaire" et pas ton compte habituel sinon l'onglet Sécurité n'apparait pas.

Si tu as Windows XP pro, tu peux même te passer du redemarrage en mode sans echec la technique étant beaucoup plus simple pour faire apparaitre cet onglet:
Panneau de configuration > Option des dossiers
Décoche la case "Utiliser le partage de fichiers simple (recomandé)"
Et valide.
Le changement sera immédiat et l'onglet apparaitra pour chaque fichiers au clic droit > propriétés sans passer par le mode sans échec et le compte administrateur.

Le reste de la manip pour la vérification des droits reste la même quelque soit ta version de Windows, il faudra juste que tu adaptes la première partie en fonction de ta version de windows et en tenant compte de ma rectification.


Bon courage à toi carpette et tiens moi au courant quand tu pourras.

a++

moe · Answer

Salut Carpette

Pas grave pour le temps de réponse, merci d'être repassée pour nous tenir au courant.
Quelques fois c'est difficile d'échapper au formatage malheureusement, pourtant c'est pas faute d'avoir cru jusqu'au bout que la solution pouvait se trouver ailleurs, mais bon...
Si le DD est touché à ce point je crois bien effectivement que le plus sensé et urgent, est de récupérer un maximum de données à sauvegarder.
J'espère pour toi en tout cas, que ce sera possible au moins pour tout les fichiers qui restaient accessibles en lecture.

Bah, ça promet quelques heures de gravures passionnantes en perspective et j'ose même pas faire le calcul du nombre de CD nécessaires... :-p

Blague à part, j'espère sincèrement que si quelqu'un tombant sur ce post a une idée lumineuse pour t'éviter le formatage ou du moins une astuce pour te permettre dans un premier temps de pouvoir sauvegarder la totalité de tes données, qu'il n'hésitera pas à se manifester d'ici là.
Perso mes compétences dans la récupération de données sont plus que limitées, donc désolé si je ne peux t'aider plus ou te conseiller sur les techniques les plus adéquates.

Bon courage.

Lyonnais92 · Answer

Bonjour,

pour la sauvegarde, un 2ème DD externe peut ne pas coûter beaucoup plus cher que les CD ou DVD nécessaires (mais peut être plus compliqué ou long à se procurer).

Pour les autorisations, l'absence de l'onglet sécurité est générale ou seulement sur les dossiers du DD externe ? Si c'est général, il y a un problème sur ton Windows.

On peut même créer un UBCD live avec Windows Xp qui a les mêmes vertus que linux, en gardant un mode opératoire plus proche et moins de problème avec les fichiers NTFS.

Ces outils (Kaella par exemple ou UBCD live) embarquent des utilitaires de récupération de fichiers perdus. Il y en a plusieurs, avec des possibilités différentes. Mon savoir est limité à quelques essais pour résoudre un problème de pertes de données. Après sauvegarde de ce qui reste spontanément accessible, pas grand chose à perdre sinon du temps.

Les spécialistes sont plutôt sur le forum Windows. Il y a aussi des tutos dans les astuces. Une recherche dans Forums Windows avec "fichiers perdus" fournit des astuces et des posts portant sur le sujet. Tu peux peut être trouver des infos complémentaires dedans. Tu peux aussi ouvrir un mesasge plus spécifique sur ton cas.

@+

titidu93 · Answer

Merci a toi la grenouille, tu déchires! c'est la première fois que je suis des instructions quand j'ai un virus sur internet et que ca marche normal ca change rien a rien et je suis obligé de formater mon disque alors un grand MERCI!!!!!!!!

titidu93 · Answer

Merci a toi la grenouille, tu déchires! c'est la première fois que je suis des instructions quand j'ai un virus sur internet et que ca marche normalement ca change rien a rien et je suis obligé de formater mon disque alors un grand MERCI!!!!!!!!

neuf kube · Answer

un virus a infecter mon disque dur externe 
jai comme anti virus avast il me dit de suppr le virus mais meme pas 10 seconde apres je le retrouve sur le disque et il me repete le meme message
je voudrais savoir comment l'effasser sans effacé mes donner.
merci de repondre vitte .

guyom78 · Answer

Bonjour,

Grenouille, AVAST me detecte le virus VBS:Solow sur C:\WINDOWS\.MS32DLL.dll.vbs. cela ne m'empeche pas l'acces à mon DD, mais AVAST alerte toutes les 30 secondes. J'ai fait ta manip (wscript, suppr des 3 fichier, HKEY, vider la corbeille), mais qd je redemarre, cela recommence.
peux tu me dire ce que je dois faire?
Merci bcp pour votre aide a tous..je suis un peu perdu
Guyom

nausicaa · Answer

Bonsoir

Je rejoins la joyeuse bande des infectées par le virus solow.

Grenouille, le première procédure conseillée supprimer wscript.exe dans le gestionnaire de tâches est-elle indispensable? car je ne trouve pas ce wscript.exe ....

nausicaa · Answer

Grenouille,

malgré le wscrpit.exe introuvable j'ai explorer les périphériques et virer le autorun.inf (clef usb, etc) mais lors de la suppression sur cd (cd d'install de cliparts divers) le fichier refuse de se supprimer malgré la case lecture seule décochée...

j'ai le message :
 une erreur s'est produite en appliquant des attributs au fichier E:\ Autorun.inf accès refusé

Peux tu m'aider?

moe · Answer

Bonsoir Nausicaa

Pour l'instant ne t'embête pas avec une désinfection manuelle, il y a plus rapide et efficace pour cette infection.

Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "If you have a flash drive, please plug in your machine..." apparaitra :
Connecte :  clé USB et périphériques USB externes susceptibles d'avoir aussi  été infectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuies  sur OK, pour faire réapparaitre le bureau.
(L'outil ne génèrera aucun rapport).

Ensuite :

Télécharge sur ton bureau, HijackThis:
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double-clique sur HJTInstall.exe pour lancer le programme.
- Accepte la license en cliquant sur le bouton [I Accept]
- Clic sur [Do a system scan and save logfile] pour générer le rapport.

Copie et colle le tout le contenu du rapport dans ton prochain message.
Referme hijackthis.

nb:
Le rapport est sauvegardé dans C:\Program Files\Trend Micro\HijacThis\hijackthis.log

@+ et bon courage !

nana a besoin daide · Answer

@ echo off

if exist \NOUSDEUX.TXT del \NOUSDEUX.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\NOUSDEUX.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\NOUSDEUX.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\NOUSDEUX.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\NOUSDEUX.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\NOUSDEUX.TXT
notepad \NOUSDEUX.TXT
exit

Lyonnais92 · Answer

moi aussi

lakiche9 · Answer

bOnjOur a tOus :D

J'ai une kestiOn XD
J'ai un virus qui tOurne sur msn...On ns di de cliké sur le lien..mOi je savais ke c'étai un virus doOnc je clikai pa...mé ma sOeur elle a pris mOn oOrdi et a cliké...dOnc depui g un virus :(
J'avai AVAST cOm entivirus mé g telecharger AVIRA ...il me trOuv des virus et je les met en QUARENTAINE....mais ske je vOudrai savOir c'est ske je dOis faire apres les avOir mi en quarentaine pour en grO les tué :s
Merci de me repOndre...je prefererai par mail vuke je ne vais pa sOuvent sur les fOrum 

auberie_berton9@hotmail.com

bisOux

Lyonnais92 · Answer

Bonjour lakiche,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Procèdes comme ceci : 
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt 


et ne remets pas ton email, tu vas te faire spammer.--

@+
N'acceptez jamais une désinfection par mp.

demmavis · Answer

MERCI MERCI BEAUCUP TOUS VOS CONSEIL MON PERMIT DE ME DEBARASSER DE CE VIRUS...
MERCI A TOUS

phanie · Answer

Salut!
très bien expliqué, très efficace, merci !!

phanie · Answer

salut!
merci grenouille, très bien expliqué très efficace

cey · Answer

Merci Grenouille ! J'ai calmement suivi ton plan d'attaque et j'ai anéanti le virus solow ! Tes explications étaient très claires et complètes... Parfait pour les gens comme moi qui rament avec leur ordi.

duchesse · Answer

bonsoir,
je voudrais résoudre un gros problème :
vendredi soir, on ordi m'alerte d'un virus et me conseille la quarantaine, ce que je fais.
mais le lendemain, en voulant aller sur ma cession, elle se déconnecte en suivant, que puis-je faire
svp, je suis perdue et nulle en la matière

ripote · Answer

fr2e · Answer

salut mec ....

moi jais une solution pour toi a moin que, et jespere que t'as tuer se salaud de .vbs.

moi le seul truc que jais trouve c'est d'éffectuer un formatage bas niveau sur le disque.(apres transfer de mes donné)

ce.vbs est toujour stocké dans un de mes disque dure  et je croit malheuresement qu'il n'y est rien d'autre a fair que le formatage...
sinon mes ajour un kaspersky et éssais il y a des chance qu'il te le neutralise

dams · Answer

Running processes:
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32	askmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\BrunoAlineEstelle\Bureau\HijackThis.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {191403CC-1138-EA9C-D1CF-C675F227C0B3} - C:\DOCUME~1\Damien\APPLIC~1\MEOWAU~1\PHONE FILM.exe (file missing)
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\2.0.20\ShprRprt.dll
O2 - BHO: (no name) - {42D7F66A-8CE6-EEC4-87F6-DD9336F2587F} - C:\DOCUME~1\Damien\APPLIC~1\MEOWAU~1\PHONE FILM.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89357095-D62B-9D16-2BAE-17988F294234} - C:\DOCUME~1\Damien\APPLIC~1\MEOWAU~1\PHONE FILM.exe (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BrowsingSoftware - {B886C1F4-D1D3-45F5-F45E-75EB024320AC} - C:\Program Files\BrowsingSoftware\BrowsingSoftware-2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenPCTEK.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [movegreyrectcorn] C:\Documents and Settings\All Users\Application Data\MealShimMoveGrey\PlatformBolt.exe
O4 - HKLM\..\Run: [spamfindpiledelete] C:\Documents and Settings\All Users\Application Data\locksnounspamfind\Deaf Dvd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic2\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [msdll] C:\WINDOWS\system32\mnu\mru\sys
etdd\mss.exe
O4 - HKLM\..\Run: [MNI.UWFX5V_0001_LP1710] "C:\Documents and Settings\Estelle Malois\Local Settings\Temporary Internet Files\Content.IE5\IJ1KUEG9\WinFixer2005ScannerInstallFRA[1].exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - Global Startup: NPADEMO.lnk = C:\Program Files\Net Pro Anti Popup\NPADEMO.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\2.0.20\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Program Files\ShopperReports\Bin\2.0.20\ShprRprt.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

voila le rapport que j'obtient avec hijacthis et il met impossible de supprimer les fichiersC:\WINDOWS\MS32DLL.dll.vbs 
                                                                                                                       C:\MS32DLL.dll.vbs
                                                                                                                        C:\autorun.inf
 a cause d'un acces refuser aidez moi plz

nico877 · Answer

Une solution toute simple installe Antivir et il te sollutionneras le probleme !

gtr · Answer

Bonjour, j'ai l'impression que ce keylogger est un coriace.
Une méthode peu sûre, brutale et longue peut consister à démarrer en mode console de récup ou en mode sans échec sans prise en charge du réseau puis de consciencieusement nettoyer la base de registre en supprimant les clés qui contiennent les dll infectées et aussi toutes lesdites dll. Enfin tenter de redémarrer et re-télécharger avast et un anti-spyware pour monitorer les connexions sortantes.Un bon sniffer de protocole réseau peut aider aussi pour les connexions sortantes.
La règle est de tout bloquer et de tout dégager (enfin, les programmes qui tentent de se connecter alors qu'on ne leur a rien demandé).
Bon courage...

BAKHALIL · Answer

MON FLASH DISK ET INFECTE VIRUS ABS EST autorun.inf 
QUE JE FAIR     

                                      MERCI

ayour001_3 · Answer

bjr tous l monde voila depuis la semaine dernier mon ordi beugue je ss atein par 1 veruse que nortan narive pa a suprimé alor j formater mon pc j telecharger AVAST on redaimaren mon pc il lence le scan ariver a 20% il m di qui mindique 
fichier C:\pagefile.sys.VBS est infecté par vbs:solow-d[wrm]
j fé reparer sa m di inpossible de repare j fé maitre en quarantaine tjr r1 j fé suprimer ts alor le scan continu il arive a 34% est lordinateur setein ts seul je c pa prq j l remdémare une foix la fenetre de windows a fich il setein a nouveau j le laisse qlq minute é j l redémare il fonctionne normalmen m tjr avast m donne une fenetre 
nom du fichier : D:\pageile.sys.vbs
nom du logiciel malveillant : VBS : solow-d[wrm]
type de logiciel malveillant : Virus/Ver
Version VPS : 080611-1,11/06/08
j tous essayé suprimer repare mettre en quarantaine r1 ne fonctionne 
é jarive pa a ouvrire le disque D sam donne D:\pagefile.sys.vbs(accés refusé)
sil vous plait si qlq peu maider é merci

Sephiroth · Answer

J'ai élaboré un petit fichier .bat afin d'anéantir (dans mon cas présent) les fichiers autorun.inf et MS32DLL.dll.vbs de tous les lecteurs (de A: à Z: ^^)
Etant donné que je ne sais pas où le faire héberger, etc., envoyez-moi simplement un mail, je vous enverrai le logiciel.
Cependant, il a été certes efficace dans les 2 utilisations que j'en ai fait, mais il s'agissait de la même souche de virus ; je ne sais pas s'il sera efficace pour vous.
warriorraph@hotmail.fr

Si vous êtes intéressé... je suis content de rendre service.

VBS:Solow Virus

79 réponses

Votre réponse

Discussions similaires

Newsletters