Sujet Précédent Sujet Suivant

VBS:Solow

hmidda Messages postés 121 Statut Membre -  
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour, je suis infecté par le virus VBS:Solow sur mes 2 partitions.
J'ai Avast comme Antivirus mais il ne fait pas grand chose car il n'arrive pas à déinfecter.
Aidez-moi SVP.

Merci
A voir également:

34 réponses

  • 1
  • 2
Réponse 1 / 34
SkateurDx50 Messages postés 54 Statut Membre 14
 
Bonjour,

Télécharger

Multi Virus cleaner 2007(gratui) ou va sur un site d'outil de désinfection de virus

aller bon courage
0
Réponse 2 / 34
hmidda Messages postés 121 Statut Membre
 
Il n'a rien detecté Multi Virus cleaner alors que Avast detecte encore le virus.
Je dois quoi faire ?
0
Réponse 3 / 34
hmidda Messages postés 121 Statut Membre
 
A l'aide SVP.
0
Réponse 4 / 34
hmidda Messages postés 121 Statut Membre
 
Salut, ceci est une solution que j'ai trouvé sur le forum.

Solow A.

Hacked By Godzilla: "My name is Slow but sure V0.04"

Suppression avec outils de désinfection :

L'outil Flash_Disinfector de sUBs:

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.

Pour info:
Le plus efficace actuellement.
Flash_Disinfector laisse des leurres afin d'éviter l'exécution automatique en cas de réinfection, il s'agit de dossiers portant le nom trompeur autorun.inf et contenant un fichier texte "Who created this folder.txt"
Si il y a réinfection, le ver crée pas les fichiers autorun.inf sensés lui garantir sa propagation par un simple double clic sur l'icone d'un périphérique, à cause de ces leurres.
Ce qui évite le message d'erreur "Impossible de trouver le fichier script C:\MS32DLL.dll.vbs" tout en conservant l'accès normal au disque et sans risques.
Ces dossiers (cachés) peuvent être au choix conservés ou supprimés selon la certitude que l'infection est définitivement éradiqué (Après scan AV complet par exemple...).

L'outil Kill MS32dll.dll.vbs.exe

http://www.security.au.edu/download/Kill%20MS32dll.dll.vbs.exe

Utilisation:
Une fois lancé, l'icône de l'outil apparait dans la barre de notification juste à côté de l'horloge.
Un clic droit sur cette icône propose deux choix:

- Kill in Thumb drive...
- Kill in Computer...

Le premier choix permet de scanner et nettoyer les périphériques USB connectés.
Le second scanne et nettoie le disque dur principal uniquement, sans toucher aux partitons/DD internes supplémentaires qu'il faudra nettoyer manuellement.

Pour info:
Le fix pendant les divers tests n'a pas systématiquement supprimé le fichier C:\WINDOWS\MS32DLL.dll.vbs et C:\MS32DLL.dll.vbs.
Par contre il permet d'épauler un nettoyage manuel en permettant d'accéder par double-clic aux disques/périfs USB sans que l'infection ne soit relancé.
Petit bémol, le fix se lance à chaque redémarrages et aucune fonction n'est prévue pour le désactiver:
Exemple de ce paramètre visible dans un rapport hijackthis:

O4 - HKCU\..\Run: [protect_autorun] C:\Documents and Settings\Grenouille\Bureau\Kill MS32dll.dll.vbs.exe /start

Et il désactive aussi dans le registre l'Autorun, Lecteur CD/DVD y compris...
La clé modifié est la suivante:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
La valeur NoDriveTypeAutoRun dont la donnée par défaut est: 95 00 00 00 est modifié par l'outil à FF 00 00 00
A réserver aux utilisateur avertis...

L'outil NOD32 VBS[Butsur.A]-Fix.exe :

http://www.softbkk.com/downloads/dl1/10304/NOD32%20VBS%5BButsur.A%5D-Fix.exe

Utilisation:
Lancez NOD32 VBS[Butsur.A]-Fix.exe et cliquez sur "I Agree" pour accepter les termes d'avertissement.
Dans la fenêtre suivante, décochez la case "Scan and clean with NOD32", sauf si NOD32 est votre antivirus résident, puis validez en cliquant sur "Do it now"
Les fichiers suivants seront supprimés du disque ou est installé Windows:

C:\WINDOWS\MS32DLL.dll.vbs
C:\MS32DLL.dll.vbs
C:\autorun.inf

Ensuite une fenêtre de type "Explorateur de fichier" va s'ouvrir et c'est à partir de là que vous devrez selectionner un média externe à faire analyser ou second DD interne.
Le fix ne traite qu'un seul média à la fois, donc il faudra relancer le fix autant de fois que vous avez de DD, clé USB...etc à faire scanner.
Cette partie de l'analyse ne supprime que les fichiers autorun.inf et laisse en place les fichiers MS32DLL.dll.vbs qu'il
faudra supprimer manuellement...

Il existe d'autre removals (3 au moins) mais je ne mettrais pas les liens de téléchargement, l'un, Thaï, n'a pas fonctionné sur ma version de Windows et les deux autres sont des scripts qui restent à tester et pour lesquels il faut regarder de plus près le code.

Sinon dans la série des "Hacked by" de la Barre de Titre d'IE et qui reprennent une très grosse partie du code du fichier MS32DLL.dll.vbs
Il y a:

:: Hacked by UC : uc.vbs
:: Hacked by MOOzilla : IISDLL.dll.vbs
:: TAGA LIPA ARE! : FS6519.dll.vbs
:: Hacked by Zay : r4n694-24y.dll.vbs
:: .MS32DLL.dll.vbs
:: insanux : insanux.vbs

Et les cas particuliers et plus virulent que sont:
The silent man / kerneldrive.exe
Puis surtout:
Hacked by 1 byte
Hacked by 8Bit / kernel32.dll.vbs
Hacked by xxx
Qui possèdent d'ailleur un removal tool dédié et édité par Bitdefender Thaïlande, pays ou ces variantes plus évolués semblent les plus actives à l'heure actuelle.
Téléchargeable ici:
http://www.bitdefenderthailand.com/uploads/AntiVB-8Bit.zip

==========================================

Suppression manuelle:

Si vous avez le moindre doute ou une difficulté à comprendre comment procéder pour une étape de la procédure qui va suivre, vous pouvez télécharger et visionner cette vidéo (2,75Mo) qui montre en temps réel chaques étapes de la désinfection de Solow.A.

1/
Ouvrez le Gestionnaire des tâches:
CTRL+ALT+SUPPR

Dans la liste des processus, selectionner toute les occurences de wscript.exe puis cliquer sur "Terminer le processus" pour toute celles trouvées.
Si wscript.exe n'est pas présent dans le gestionnaire des tâches, passez à l'étape suivante.

2/
Ensuite important, rendre visible les fichiers cachés et système, sinon les fichiers infectés resteront "introuvables":
Panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

3/
Connecter chaque périphériques externes susceptibles d'avoir été infectés:
- Clé USB
- Disque dur externe.
- Ipod
Etc...

/!\ A partir de maintenant, ne double cliquez surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, sous peine de relancer l'infection.

4/
Ouvrir le Poste de travail.
Faites un clic droit >> Explorer sur l'icône du disque dur principal ou est installé Windows :

* Supprimer si présent:

C:\WINDOWS\MS32DLL.dll.vbs
C:\MS32DLL.dll.vbs
C:\autorun.inf

En cas de problèmes de suppression, vérifiez que les fichiers ne soient pas en lecture seule:
Clic droit sur le fichier -> Propriétés et décocher la case "Lecture seule"
Et réessayez de supprimer le fichier.

5/
Revenez sur le Poste de travail et faites un:

Clic droit >> Explorer sur chacunes des icônes représantant vos partitions et périphériques externes.

* Supprimez si présent:

MS32DLL.dll.vbs
autorun.inf

Si tout s'est bien passé jusque là, l'infection est totalement supprimée.

6/
Reste ensuite 3 choses à corriger:

L'entrée dans le registre qui permettait au ver de se réactiver à chaque démarrage du pc et le titre de la fenêtre d'Internet explorer "Hacked By Godzilla" qui persiste.

Pour y remédier, téléchargez HijackThis:
http://www.merijn.org/files/hijackthis.zip

Lancez hijackthis et cliquez sur [Do a system scan only]
Cochez la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

validez en cliquant sur le bouton [Fix checked]

La modification prendra effet immédiatement.

"Impossible de trouver le fichier script C:\MS32DLL.dll.vbs"
Après désinfection, ce message peut persister tant que vous n'aurez pas redémaré le PC, et à chaque tentative pour ouvrir le disque dur en double cliquant sur son icône.
Donc soit vous redémarrez le pc ou bien vous pouvez utiliser cette petite astuce qui permet d'éviter un redémarrage:

Ouvrez le Gestionnaire des tâches et gardez sa fenêtre ouverte : CTRL+ALT+SUPPR
Dans la liste des processus, selectionnez explorer.exe et cliquez sur "Terminer le processus"
Dans le menu "Fichier" du gestionnaire des tâches, cliquez sur "Nouvelle tâche (exécuter)"
Tapez explorer.exe et validez.

Vos disques/périphériques seront à nouveau et immédiatement accessibles par un double-clic.
Si le problème persiste, c'est que vous avez du surement oublier de supprimer un fichier autorun.inf, dans ce cas revérifiez saprésence sur le lecteur qui pose problème en reprenantla manip du début.

N'oubliez pas ensuite de:
* Vider la corbeille :-).
* Recacher les fichiers cachés et système.
* Faire une analyse antivirus complète de votre PC.
-------------------------------------------------------------------------------------------------------------------

J'ai fait la solution manuelle, mais j'ai fait un scan à la fin et je me retouve avec des fichiers du systeme de restauration infectés!!!!! Je dois faire quoi?
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
salut
Qui t'a donné cette marche à suivre ???
0
hmidda Messages postés 121 Statut Membre > ^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai trouvé ceci sur le forum, posté par Grenouille.

Merci de m'aider parce que le virus est dans les les repertoires des fichiers de restauration.
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279 > hmidda Messages postés 121 Statut Membre
 
Chaque cas est bien particulier, .....


C - Ccleaner :
(nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


D – Ewido – AVG
AVG Anti-Spyware :
https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour.
Patiente!
Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport


F - Hijackthis - Outil de diagnostic et réparation

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+





0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
hmidda Messages postés 121 Statut Membre
 
Salut: Voilàa les 2 rapports :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:58:51 29/06/2007

+ Résultat de l'analyse:

C:\Documents and Settings\Youssef\Cookies\youssef@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@atdmt[3].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@ehg-neuftelecom.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@search.live[1].txt -> TrackingCookie.Live : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@www.smartadserver[3].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@weborama[3].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Youssef\Cookies\youssef@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\WINDOWS\boot.ini -> Worm.Sasan.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\system volume information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP68\A0019197.ini -> Worm.Sasan.a : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:01:51, on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Youssef\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{0312966A-B0F4-43F8-90C6-C2301C403DE4}: NameServer = 86.64.145.146 84.103.237.146
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4296117-4955-41AF-ACFC-E3DC1CA16DFD}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0312966A-B0F4-43F8-90C6-C2301C403DE4}: NameServer = 86.64.145.146 84.103.237.146
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Je worm a infecté les répertoires de restaurations ( 2 partitions ) d'après Avast, mais AVG spyware n'a rien vu!!!!!!

Merci pour votre aides.
0
Réponse 6 / 34
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.
0
Réponse 7 / 34
hmidda Messages postés 121 Statut Membre
 
Voilà le rapport.

30/06/2007 a 0:22:52,66

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\RUNXMLPL.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
0
Réponse 8 / 34
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Redémarre ton PC en mode sans échec :
http://forum.telecharger.01net.com/forum/
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaitre, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va être généré, envoie le moi dans ta prochaine réponse !
0
Réponse 9 / 34
hmidda Messages postés 121 Statut Membre
 
Salut, merci beacoup pour ton aide!!!
Voilàa le rapport:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 01/07/2007 a 14:53:04,82

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\autorun.inf

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\RUNXMLPL.exe

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
Réponse 10 / 34
hmidda Messages postés 121 Statut Membre
 
Salut, j'ai pas encore eu t'a réponse, j'ai encore le fameux virus sur mon pc.
a+
0
Réponse 11 / 34
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Déso,
Pas mal de dossiers

Comment se comporte ton PC

Refais moi un log hitjakthis
0
Réponse 12 / 34
hmidda Messages postés 121 Statut Membre
 
Salut, merci de m'avoir répondu ci vite.

J'ai remarqué que le virus traine encore sur la racine de mon disque C: là où windows est installé. Par contre il ne l'ai plus sur la racine de d:
J'ai pas encore vérifié s'il existe encore dans les repertoires de restauration de windows ( C: et D: )
NB: j'ai deux partitions.

Voilà le rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17:16:20, on 03/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\D-Tools\daemon.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wisptis.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Youssef\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4296117-4955-41AF-ACFC-E3DC1CA16DFD}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 13 / 34
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Perso, je ne sais pas

Jette un oeil ici ==> grenouille

vbs solow virus
0
Réponse 14 / 34
hmidda Messages postés 121 Statut Membre
 
Salut, j'aimerai faire une restauration de mon pc. Comment faire sans que je me retrouve avec le meme virus après. J'ai un pc aceravec une licence OEM. J'ai mon cd de restauration que j'ai crée heureusement avant mes soucis avec ce virus. Donc, je pense que mes fichiers du cd sont clean.

Merci de me dire comment faire.
0
Réponse 15 / 34
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Ne fais rien pour l'instant
Je demande un coup de main sur un autre forum

Demande faite
Donc faut patienter

merci
A+

0
Réponse 16 / 34
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut Youssef
Bonsoir Marie?

Youssef fais ceci si ce n'est déjà fait .
Mais attention, il faut brancher des disques externes.

Télécharge kill_autorun_vbs.bat
http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16
double-click sur kill_autorun_vbs.bat et laisse-le faire le boulot .
(En fait le fix détruit les autorun vérolés et aussi il répare une clé du regsitre).

Télécharge et exécute : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Si ton antivirus fait une alerte, désactive le.

Bonne soirée
Al.
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Merci AL.
0
Réponse 17 / 34
hmidda Messages postés 121 Statut Membre
 
Bonsoir, j'ai fait ce qui est demandé, il existe encore des fichiers infectés dans les répertoires de restaurations.
0
Réponse 18 / 34
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

OK
merci

Comment vois-tu ceci « il existe encore des fichiers infectés dans les répertoires de restaurations.» Poste le rapport s'il te plaît .
Pourquoi rester mystérieux ? Aucune raison .

Il faudrait faire ceci complètement et dans l'ordre s'il te plaît:

1°- Quel est ton fournisseur d'accès à internet ?
En aurais-tu plusieurs ?
Dont ce bizarre Location: Unknown [Note: Using 192.168.0.0 OrgID: IANA Address: 4676 Admiralty Way, Suite 330 City: Marina del Rey StateProv: CA PostalCode: 90292-6695 Country: US ==> AOL, Wanadoo ??

--------------------------------

2°- Je vois ceci :
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)
4EAFEF58-EEFA-4116-983D-03B49BCBFFFE X PalTalk Added by PalTalk an IM client that is advertising supported. It may not be harmful to have on your computer, but it will serve various types of advertising. ADWARE! Note: Located in %Program Files%\Paltalk Messenger\

Donc :

A)- Lance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)
Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]

B)- Relance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »

- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum

--------------------------------------

3°- C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
Ce qui veut dire que ta console Java n'est pas à jour !
Pour corriger cela, vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version.

Après installation et redémarrage, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
----------------------------------------------------------------------

4°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe >
Double clique « combofix.exe » et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
----------------------------------------------------------------------

6°- Désinstaller Avast avec cet outil:< https://www.avast.com/fr-fr/uninstall-utility >

Télécharge cet antivirus ANTIVIR ici sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows >
Avec son tuto ici : < http://speedweb1.free.fr/frames2.php?page=tuto5 > à compléter par ce mode d'emploi en français d'antivir presque à jour : < http://tutopat.hostonet.org/viewtopic.php?t=2417 > qui prend en compte la case Rootkit. En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON].
Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation;

Attention : Après l'installation du programme, et avant de lancer l'analyse, il faut redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Supprimer tous les fichiers infectés trouvés;
Poster le rapport SVP.

---------------------------------------

7°- Avec ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse

•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

---------------------------------------------

6°- Quand le PC sera désinfecté, il faudra prendre ceci en considération :
Aucun pare-feu actif n'a été trouvé sur votre système

Courage
Merci
Bonne nuit
Al.
0
Réponse 19 / 34
moe
 
Salut hmidda

C'est normal pour les points de restau système infectés, mais il faudra que tu ne t'en occupe qu'en dernier, une fois que tu seras sure de ne plus avoir d'infection active, sinon ça ne servira pas à grand chose.

Les fichiers concernant ton infection sont:

C:\WINDOWS\.MS32DLL.dll.vbs
C:\WINDOWS\boot.ini (c'est une copie de .MS32DLL.dll.vbs)

+ les fichiers
.MS32DLL.dll.vbs
autorun.inf
que le ver essaye de recréer systématiquement à la racine de chaques disques/partitions et médias amovibles (clés, ipod, DD externe etc...) à chaques fois ou il s'exécute.

Pour la plupart des fichiers, AVG et Flash_disinfector semblent les avoir supprimés, persiste encore une trace dans le registre à supprimer, que mentionne ton rapport hijackthis:
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini

Donc avant de désactiver et réactiver la restauration système, ce qui aura pour but de supprimer tous les points de restauration , et donc y compris ceux infectés que te détectent ton av, il vaut mieux s'assurer d'abord qu'il ne reste plus de fichiers infectieux.

Télécharge AutorunSrch, et dézippe-le sur ton bureau.
Dans le dossier AutorunSrch, double-clic sur autosearch.bat.
Une fenêtre va s'ouvrir, te demandant de connecter les périphériques externes susceptibles d'avoir été infectés, connectes-les si c'est le cas.
Appuies ensuite sur une touche du clavier pour lancer l'analyse.
Le bloc notes s'ouvrira en fin d'analyse, copie et colle son contenu dans ton prochain message et un nouveau rapport hijackthis.

a+ 

______________________________________

ben07007000077770070777000001101555055000510113003003305001015505000590090909990099
0
Réponse 20 / 34
moe
 
Oupss, dsl Afideg, tu as été plus rapide lol
Suis ses conseils hmidda et ne tiens pas compte de mon intervention.

Bonne continuation !
0

Discussions similaires

Faire une pause en VBS
quent -
quent -

3 réponses
Comment lancer mon vbs
Akasha51150 -
Akasha51150 -

14 réponses
Impossible de trouver le fichier script .vbs
Marker_ -
Marker_ -

6 réponses
Pause dans un Script VB
avrelbct -
avrelbct -

1 réponse
(vbs) msgbox perso
docteur_nemo -
félix -

12 réponses