Mon PC s'éteint régulièrement : VIRUS

Fermé
Signaler
Messages postés
9
Date d'inscription
mercredi 20 juin 2007
Statut
Membre
Dernière intervention
12 septembre 2007
-
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
-
Bonjour, j'ai laissé un message il y a peu disant que je ne pouvais accéder à aucun tchat pour bannissement. On m'a répondu que j'étais probablement infecté par un ou plusieurs virus, ce qui est sans doute le cas puisque 1) mon ordi s'éteint régulièrement depuis plusieurs semaines 2) des pubs parasitent mon ordi malgré un bloqueur de fenêtres intempestives. J'ai fait des recherches sur ce forum et j'ai appris qu'il fallait faire plusieurs rapports pour mettre à jour les fichiers infectés. J'ai donc fait un rapport clean, ci dessous:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 21/06/2007 a 12:20:53,12

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\secure32.html
tentative de suppression de C:\StubInstaller.exe
tentative de suppression de C:\uniq

*** Suppression des fichiers dans C:\windows\

*** Suppression des fichiers dans C:\windows\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Adverts\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


Puis un rapport Smitfraudfix, ci dessous:

SmitFraudFix v2.195

Rapport fait à 12:40:08,18, 21/06/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\VTTimer.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Browser PS2 mouse\mouse32a.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\windows\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\Program Files\Multimedia keyboard utility\1.3\KbdAp32A.exe
c:\progra~1\intern~1\iexplore.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows

C:\windows\timessquare1.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csigu.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.115.70
DNS Server Search Order: 85.255.112.138

HKLM\SYSTEM\CCS\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CCS\Services\Tcpip\..\{326EED4A-6F57-4166-9C88-3B321871677A}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{326EED4A-6F57-4166-9C88-3B321871677A}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{06FC9527-AFF2-44CD-9C9D-7BA20CEFEC50}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{326EED4A-6F57-4166-9C88-3B321871677A}: NameServer=85.255.115.70,85.255.112.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.115.70 85.255.112.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.70 85.255.112.138
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.115.70 85.255.112.138


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voilà, à partir ça, j'aimerais qu'on résolve mon problème puisque je ne sais pas quelles démarches suivre ensuite. Merci

39 réponses

je télécharge VirusTotal? Et où je colle C:\Prgram files....? Moi j'ai "Browse" (=parcourir) pendant l'installation.
0
Remarque: je ne peux pas installer VIRUS TOTAL avec Adeck.exe ... Il rend la touche INSTALLER hors de fonction.
0
C'est bon, je viens de capter lol ... Dans environ 25 minutes, ce sera terminé...
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
désolé, j'étais à table!!
0
lol pas de problème. En tout cas, merci de prendre autant de ton temps pour m'aider dans cette galère lol
0
Et enfin le scan de VIRUS TOTAL:

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.21.2007 no virus found
AntiVir 7.4.0.34 06.21.2007 no virus found
Authentium 4.93.8 06.21.2007 no virus found
Avast 4.7.997.0 06.21.2007 no virus found
AVG 7.5.0.467 06.20.2007 no virus found
BitDefender 7.2 06.21.2007 no virus found
CAT-QuickHeal 9.00 06.21.2007 no virus found
ClamAV devel-20070416 06.21.2007 no virus found
DrWeb 4.33 06.21.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3731 06.21.2007 no virus found
Ewido 4.0 06.21.2007 no virus found
FileAdvisor 1 06.21.2007 No threat detected
Fortinet 2.91.0.0 06.21.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.20.2007 no virus found
Ikarus T3.1.1.8 06.21.2007 no virus found
Kaspersky 4.0.2.24 06.21.2007 no virus found
McAfee 5058 06.21.2007 no virus found
Microsoft 1.2607 06.21.2007 no virus found
NOD32v2 2343 06.21.2007 no virus found
Norman 5.80.02 06.21.2007 no virus found
Panda 9.0.0.4 06.21.2007 no virus found
Sophos 4.18.0 06.21.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.21.2007 no virus found
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.21.2007 no virus found
Webwasher-Gateway 6.0.1 06.21.2007 no virus found


Aditional Information
File size: 528384 bytes
MD5: f587f3cb1d73b084c45d4e6d7b9e4a57
SHA1: b35342baa481b309d27edd24e5865a677b73a774
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=f587f3cb1d73b084c45d4e6d7b9e4a57
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
c'est tout bon

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
C:\Documents and Settings\Administrateur\Application Data \Exit size test
C:\Documents and Settings\All Users\Application Data \Poll Cake Lies Wait
C:\Program Files\Exit size test



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Relance OTMoveIT
Clic sur le bouton CleanUp! destiné a supprimer toutes traces des programmes qui ont servi à la désinfection
OTMoveIt s'auto-supprime aussi.
la manoeuvre nécessitera un reboot initié par le programme.

vérifie que tout ce qu'on a utilisé pour la désinfection est bien supprimé et
faire un scan antivirus en ligne avec internet explorer et accepter l'activex
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur I agree
La fenêtre change encore, clique sur Click here to scan
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

je regarderai le rapport demain
bonne nuit
0
Merci à toi. Bonne nuit.
0
Il y a un problème: Dès lors que je clique sur Moveit! après avoir collé les informations que tu m'as listées, un message apparaît qui est "Cannot create file C:\_OTMoveIt\MovedFiles\06212007_223619.log."
Après ça, tous les virus TROJAN ont été de nouveau détectés et bloqués par BitDefender.
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
laisse tomber et fais le scan en ligne
0
Le scan BitDefender est en route mais il semble interminable! Ca n'avance pas et selon les estimations de durée, j'en ai pour plus de 6 heures ... ça n'a rien d'anormal???
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
pas forcément, cela dépend de ton disque dur et souvent la durée se réduit au bout d'un moment
0
ok, je n'ai plus qu'à attendre alors ... je te collerai le scan dès qu'il sera terminé. à tte
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
à+
0
L'analyse est en route depuis 5h30 environ n'en est qu'au fichier 26054 sur un total d'environ 61000, d'autant plus que le temps restant estimé ne cesse de grimper. Depuis le fichier 24000, l'analyse est très lente, voire immobilisée. Que dois je faire? Je recommence l'analyse ou je laisse faire?
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
si tu es sur que c'est bloqué, laisse tomber!!
et essaie sur un autre site
http://pandasoftware.fr
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
http://www.bitdefender.fr/scan8/ie.html
http://www.secuser.com/outils/antivirus.htm
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=fr&venid=sym
0
ok je vais essayer tout ça ...
0
Bon et bien c'est mort... J'ai utilisé plusieurs de tes sites et mon ordi plante après quelques minutes de scan seulement!
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
ok on va utiliser les très gros moyens!!!!!!!!!!!
Escan :
Antivirus puissant à utiliser en "mode sans échec" sur les cas difficiles où il est souvent d'une grande éfficacité;

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

http://www.spywareinfo.dk/download/mwav.exe

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Installer Escan et faire la mise à jour uniquement.
0
Je n'y comprends rien!!! Mon PC s'éteint toujours et pratiquement au même instant: vers les 20000 fichiers scannés environ. Y a t-il un moyen que mon ordi cesse de planter?
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
tu vois le nom du fichier qui fait planter?
0
Non je n'ai pas fait attention ... je peux recommencer le scan pour préciser...
0
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
258
ok cela peut donner une indication..
0