Virus Worm.win32.perlovga.aRésolu/Fermé

Question

Bonjour, 

J'ai besoin de votre aide please. voilà Kaspersky m'a trouvé des virus et chevaux de troie. Essentiellement de type "worm.win.32.perlovga.a ou b. Il me dit que "le fichier contient un code malicieux et que la réparation est impossible, c'est dans le fichier c:\copy.exe (entre autres). J'ai voulu les supprimer et depuis je n'arrive plus rien à ouvrir depuis poste de travail. J'y arrive avec mes raccourcis bureau. Je les ai restaurés mais ça ne fonctionne toujours pas. En plus je n'y connais pas grand chose...  Vous pouvez faire quelque chose pour moi? 

Je vous envoie les rapport de Kaspersky 

Détectés : 
supprimé : virus Worm.Win32.Perlovga.a	Le fichier: C:\WINDOWS\xcopy.exe//PE_Patch//MEW
découvert : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: C:\WINDOWS\svchost.exe
découvert : virus Worm.Win32.Perlovga.b	Le fichier: C:\WINDOWS\system32	emp1.exe//PE_Patch//MewBundle//MEW
découvert : cheval de Troie Backdoor.Win32.Small.lo	Le fichier: C:\WINDOWS\system32	emp2.exe
découvert : virus Worm.Win32.Perlovga.a	Le fichier: C:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: C:\host.exe
non trouvé : virus Worm.Win32.Perlovga.b	Le fichier: C:\WINDOWS\Temp\PR5.tmp//MewBundle//MEW
non trouvé : virus Worm.Win32.Perlovga.b	Le fichier: C:\WINDOWS\Temp\PR6.tmp//MEW
non trouvé : virus Worm.Win32.Perlovga.b	Le fichier: C:\WINDOWS\Temp\PR7.tmp
supprimé : virus Worm.Win32.Perlovga.a	Le fichier: E:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: E:\host.exe
découvert : virus Worm.Win32.Perlovga.a	Le fichier: F:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: F:\host.exe
découvert : virus Worm.Win32.Perlovga.a	Le fichier: G:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: G:\host.exe
découvert : virus Worm.Win32.Perlovga.a	Le fichier: H:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: H:\host.exe
découvert : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: C:\WINDOWS\svchost.exe

Merci merci

Sophie

Le sioux · Answer

Bonjour Sophie

Le virus Pergola est en fait un ver qui se transmet via peripheriques usb (clef usb, mp3,mp4, DD externes,..)
On va te debarrasser de ces vers, tu en as plusieurs ;-)

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.

1) Telecharge

a) Flash desinfector

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

b) Outil Mcafee :
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)

c) Outil Symantec :
https://www.broadcom.com/support/security-center

--> Les 3 sur ton bureau

2) Passe une première fois les 3 fix et redémarre le pc.

Flash desinfector :

Il suffit de cliquer sur le fichier .exe
Si la clé n'est pas introduite, il sera demandé de la connecter.


L'Outil Mcafee:

Dans le dossier QQPass-RjumpStinger, double clic sur le fichier Stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier Stinger.txt sera alors crée avec le contenu de l'analyse.
Je te conseille de renommer Stinger.txt si tu dois passer une seconde fois l'outil, car le rapport du second passage "écrasera" le premier et donc il sera difficile dans ce cas, de savoir ce qui a été supprimé et corrigé.

L'Outil Symantec:

Sur le bureau, double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions de fichiers/clés registre.

3) Puis redemarre ton pc puis repasse une seconde fois les 3 fix

(afin de t'assurer qu'il n'y a vraiment plus aucunes traces du ver.) et poste les rapports

Tiens au courant, @+

Sophie · Answer

Bonjour Le Sioux

Merci beaucoup pour ta réponse. En fait j'avais trouvé une solution dans le forum pour pouvoir ouvrir mes Disk  et je n'ai pas retrouvé mon message et donc pas pu te le préciser, désolée. Je vais tenter de suivre ta procédure pour éradiquer les virus et chevaux bien que ça m'a l'air un peu compliqué ! 

Je te redis ça... 

A +

Le sioux · Answer

Bonsoir Sophie

Cela parait compliqué car bien detaillé; mais en fait c est rapide et simple.

Tiens au courant, @+

sofi · Answer

Bonsoir Le Sioux, 

En fait ça a eu l'air de marcher, j'ai repasser l'antivirus et apparamment il ne l'a pas retrouvé. 
Merci encore pour ton aide.

Soph

Le sioux · Answer

Bonsoir Sofi

Ce serait sympa de me copier/ coller les rapports comme demandé...

@+

sofi · Answer

Bonjour Le Sioux, 

En fait je ne suis pas sure que ça a marché. J'ai un peu de mal à m'y retrouver...

J'ai viré ceci dans le dossier de sauvegarde de l'antivirus, ça craint ?

Infecté : virus Worm.Win32.Perlovga.b	C:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP76\A0017923.exe	34,5 Ko

Voici le rapport de l'antivirus

non trouvé : virus Worm.Win32.Perlovga.a	Le fichier: F:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: F:\host.exe
non trouvé : virus Worm.Win32.Perlovga.a	Le fichier: G:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: G:\host.exe
non trouvé : virus Worm.Win32.Perlovga.a	Le fichier: H:\copy.exe//PE_Patch//MEW
supprimé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: H:\host.exe
non trouvé : cheval de Troie Trojan-Dropper.Win32.Small.apl	Le fichier: C:\WINDOWS\svchost.exe
supprimé : virus Worm.Win32.Perlovga.b	Le fichier: C:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP70\A0009667.exe//PE_Patch//MewBundle//MEW
découvert : logiciel publicitaire not-a-virus:AdWare.Win32.180Solutions.bj	URL: http://installs.hotbar.com/installs/hotbar/programs/10.0.368.0/hotbar.exe//stream//data0001
supprimé : logiciel publicitaire not-a-virus:AdWare.Win32.180Solutions.bj	Le fichier: E:\Sophie\Programmes\Petits prog gratuit\hotbar.exe//stream//data0001
supprimé : logiciel publicitaire not-a-virus:AdWare.Win32.Shopper.l	Le fichier: E:\Sophie\Programmes\Petits prog gratuit\hotbar.exe//stream//data0025//data0013//data0005
supprimé : logiciel publicitaire not-a-virus:AdWare.Win32.180Solutions.bj	Le fichier: E:\Sophie\Programmes\Petits prog gratuit\hotbar.exe//stream//data0038//stream//data0002
supprimé : virus Worm.Win32.Perlovga.b	Le fichier: C:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP76\A0017923.exe//PE_Patch//MewBundle//MEW
découvert : application présentant un risque potentiel Trojan.generic	Le processus: C:\Program Files\BitTorrent\dna.exe

A+
Sofi

Le sioux · Answer

Bonjour Sofi

C est ok .c est dans la restoration.

Merci pour le rapport, c est bon aussi.

* A lire et a appliquer https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/  Vaccination clef USB

* Je te conseillerais bien aussi de faire cela pour que l on fasse le point :

Telecharge  hijackthis

Double clique dessus pour lancer l installation . Accepte la licence qui va apparaître  par " I agree" .

Puis clique sur "Do a system scan and save a logfile"

Ferme hijackThis et fait un copier-coller du log entier et poste le ici en réponse

Tuto :

http://pageperso.aol.fr/balltrap34/demohijack.htm

@+

sofi · Answer

Re-bonjour, 

J'ai supprimé tous les fichiers suivant dans le dossier de sauvegarde de l'antivirus, il m'en trouve 10 fois plus qu'avant c'est la panique !!! Sinon j'ai appliqué hijackthis. Je t'envoie le rapport. 

Voici une partie de ces dossiers supprimés : 
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008015.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0010725.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p42\a0006327.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p48\a0007583.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p45\a0006460.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008599.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0009667.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0009668.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010819.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008082.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0009633.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p67\a0008456.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p60\a0008140.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p53\a0007788.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p74\a0013916.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0006535.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008545.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p60\a0008120.exe	34,5 Ko
Infecté : cheval de Troie Trojan-Dropper.Win32.Small.apl	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010794.exe	68,6 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010785.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0007546.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	C:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP76\A0017923.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p41\a0006277.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010784.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p49\a0007609.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008093.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p66\a0008441.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.a	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p76\a0017926.exe	1,2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0009646.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p61\a0008193.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p67\a0008488.exe	34,5 Ko
Infecté : logiciel publicitaire not-a-virus:AdWare.Win32.180Solutions.bj	E:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP78\A0024029.exe	3,3 Mo
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p65\a0008373.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008528.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p58\a0007999.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p44\a0006422.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0007557.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p56\a0007923.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p65\a0008356.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p66\a0008401.exe	34,5 Ko
Infecté : cheval de Troie Trojan-Dropper.Win32.Small.apl	e:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p76\a0017931.exe	68,6 Ko

Rapport de hijackthis 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:05, on 15/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [i"] "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.exe" -r "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.ini"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

sofi · Answer

Re-bonjour, 

J'ai supprimé tous les fichiers suivant dans le dossier de sauvegarde de l'antivirus, il m'en trouve 10 fois plus qu'avant c'est la panique !!! Sinon j'ai appliqué hijackthis. Je t'envoie le rapport. 

Voici une partie de ces dossiers supprimés : 
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008015.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0010725.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p42\a0006327.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p48\a0007583.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p45\a0006460.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008599.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0009667.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p70\a0009668.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010819.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008082.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0009633.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p67\a0008456.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p60\a0008140.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p53\a0007788.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p74\a0013916.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0006535.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008545.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p60\a0008120.exe	34,5 Ko
Infecté : cheval de Troie Trojan-Dropper.Win32.Small.apl	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010794.exe	68,6 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010785.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0007546.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	C:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP76\A0017923.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p41\a0006277.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p71\a0010784.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p49\a0007609.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p59\a0008093.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p66\a0008441.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.a	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p76\a0017926.exe	1,2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0009646.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p61\a0008193.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p67\a0008488.exe	34,5 Ko
Infecté : logiciel publicitaire not-a-virus:AdWare.Win32.180Solutions.bj	E:\System Volume Information\_restore{3EC857D1-E761-47B9-B787-F94FD4C5DCDC}\RP78\A0024029.exe	3,3 Mo
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p65\a0008373.exe	2 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p69\a0008528.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p58\a0007999.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p44\a0006422.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p47\a0007557.exe	34,5 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p56\a0007923.exe	34,5 Ko
Infecté : cheval de Troie Backdoor.Win32.Small.lo	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p65\a0008356.exe	2 Ko
Infecté : virus Worm.Win32.Perlovga.b	c:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p66\a0008401.exe	34,5 Ko
Infecté : cheval de Troie Trojan-Dropper.Win32.Small.apl	e:\system volume information\_restore{3ec857d1-e761-47b9-b787-f94fd4c5dcdc}p76\a0017931.exe	68,6 Ko

Rapport de hijackthis 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:05, on 15/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [i"] "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.exe" -r "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.ini"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Le sioux · Answer

Bonsoir 

Pas de panique ceux ci se trouvent dans la restoration, on l ecraser& en fin de sujet  ;-)

1)  Lance HijackThis.


Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet.

Clique surDo a system scan only et coche les lignes suivantes, Clique sur Fix Checked puis clique sur OK


O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REGun.cmd (User 'Default user')

2) Cleanzip

* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

--->  Puis Poste le rapport qui se trouve ici C:apport_clean.txt ainsi qu un nouvel HijackThis en reponse.

@+

Le sioux · Answer

Bonjour Sofi

Regarde ici cela devrait t interresser ++ :

A lire et a appliquer  --->   https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/

Merci a Gof pour cet excellent article et ce procédé de vaccination des clefs usb et de Désactivation de  l'autorun par défaut dans Windows.

Salut.

sofi · Answer

Bonjour Le Sioux, 

J'ai fait ce que tu m'as dit. Voici le rapport de Clean : 

*** Recherche des fichiers dans C: 
C:\autorun.inf FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\RadLightMPCUninstall.exe FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 

Et celui de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:47:29, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [i"] "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.exe" -r "C:\Documents and Settings\Administrateur.XPSP2-F5F3119B0\Mes documents\Mes logiciels\Dragon Naturally Speaking\Program\ereg.ini"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Le sioux · Answer

Bonjour Sofi
 
Bien joué, on continue ;-)

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redemarrera en mode sans echec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

2) Cleanzip

* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 2.

3) Rapport

Redemarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt

@+

Autres infos chez Malekal_Morte  http://forum.malekal.com/ftopic3350.php

sofi · Answer

Voici le rapport de clean... Mon ordi rame de + en +... 

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 16/10/2007 a 11:04:18,59 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
tentative de suppression de C:\autorun.inf 
Impossible de supprimer C:\autorun.inf  
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

A+

Le sioux · Answer

Hello Sofi

On continue  ;-)

1) Desactivation autorun par défaut dans Windows et vaccination des clefs usb

 Va voir ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/  Merci a Gof 

* Et fait ceci  Désactiver l'autorun par défaut dans Windows  Clique sur autorun off.reg

* Puis vaccine tes clefs usb grace a  VaccinUSB.exe  toujours ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/

Puis supprime l outils de Symantec, l outil macaffee, flashdesinfector et cleanzip le dossier et le zip, puis vide ta poubelle.

 2) Scan en ligne chez Bitdefender

* fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm


Poste en reponse le rapport de scan qui  se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

@ suivre

sofi · Answer

Hello, 

J'ai fait la première partie, désactivation de l'autorun mais je ne comprend pas très bien comment vacciner ma clé. Quand je fais vaccinusb exe ça me dit "un fichier ravmon.exe existe déjà, le fichier spécifié est introuvable puis idem pour ravmon.log, puis winfile, copy... 
J'ai copié le fichier Ravmon exe sur ma clé. Quand j'ai mis ma clé ça me remis qu'il y avait un cheval de troie et quand je vais sur poste de travail, je n'ai plus accès à mon deuxième disque dur (E, F, G, H), ça me met E packarbel à la place. (normalement la clé c'est I je crois)... Je ne sais plus trop ce que je fais à force. Du coup je n'ai pas encore fait Bitdefendeur. 
Merci encore de te prendre la tête pour moi car il faut vraiment de la patience !

Sofi

Le sioux · Answer

Re

Laisse de coté la vaccination de la clef pour l instant, je pense que ton antivirus reagit mal au vaccin en quelque sorte ;-)

Quand je vais sur poste de travail, je n'ai plus accès à mon deuxième disque dur (E, F, G, H), ça me met E packarbel à la place. (normalement la clé c'est I je crois)

Depuis quand ça te fait cela, apres quelle manip ? si c est suite a la  l'autorun par défaut dans Window  tu peux revenir en arriere avec le autorun on.reg 

Sinon, on peut essayer ceci , je m en suis deja servis pour nettoyer et retablir le double click sur clef usb et DD vérolés avec succes :

Telecharge Fixperl  http://www.morx.org/fixperl.exe  et double clique dessus et dis moi s il y a un mieux.

@ suivre.

sofi · Answer

Ben en fait ça remarche. J'ai redémarré et il m'a mis que l'intégrité du disque E devait être vérifiée. vu que ça durait 3h j'ai arrêté. Et j'ai de nouveau accès à mes disques. Je vais donc faire le scan avec Bitdefender... Sinon tu crois que je peux tout reformater et tout re installer quitte à tout perdre mes docs? A la limite si ça peut remettre mon ordi à 9... Enfin on verra après. Je t'envoie le rapport

A+

Le sioux · Answer

Re

Cela aurait été bien de laisser  vérifier l'intégrité du disque E meme si c est tres long.On reviendra la dessus si besoin plutard.

Ce serait tres dommage de reformater , on doit pouvoir solutionner tes problèmes.

@ ce soir avec les resultats de scan et des nouvelles de ton pc.

sofi · Answer

Re-Salut, 

J'avais commencé l'analyse mais il s'est bloqué avant la fin. Je vais renoncer, c'est trop le bins dans mon PC. Mais dis moi, avec le re formatage, y'a aucun rique que ça soit toujours présent rassure moi ? Je vais jeter ma clé et en racheter une. Par contre j'avais voulu brancher mon téléphone mais il a du se choper aussi un virus et depuis mon ordi ne le reconnait plus. Si je retente de le brancher après le formatage je risque de tout recontaminer... Qu'en penses-tu ?
Bon ça devrait être mes dernières questions, après j'arrête de t'embêter !
En tout cas ce fut super sympa donc encore mille merci.

A+

Le sioux · Answer

Bonsoir Sofi

Jeter ta clef.. formater ton pc, ceci juste a cause du ver Perlovga..j'en pense que cela  serait bien dommage..on doit pouvoir venir a bout de ce ver sans trop de soucis..
Veux tu vraiment abandonner ?

@ suivre

sofi · Answer

Salu, 

Ben oui je préfère car j'ai plein de fichiers uninstal dans windows, j'ai l'impression que j'ai supprimé plein de trucs et je n'y comprend plus rien. Comme ça j'aurai un ordi comme 9. Tant pis pour mes musiques... pis pour la clé j'ai peur que si je la remets pour la vaccinner ça recommence... J'aurais bien continué mais j'y passe des heures et pendant ce temps je ne cherche pas de travail !!!

Je ferais peut être de nouveau appel à toi par la suite si tu es ok, j'ai peur d'avoir contaminé l'ordi de mon copain, il n'a pas d'antivirus... Je verrai ça un peu plus tard. En plus je comptais essayer de le brancher en réseau mais je vais peut être éviter...

Bonne journée 

Sofi

Le sioux · Answer

Bonjour Sofi

Comme tu le souhaites, tu es maitre a bord ;-)

@ une autre fois alors.


=========================================================================

Si tu formates sers toi de ces liens

Le formatage :

http://perso.orange.fr/jesses/Docs/Tutos/Formatage.htm
http://www.teamatic.net

Installation securisée :

http://speedweb1.free.fr/frames2.php?page=securite3


=========================================================================

Pour améliorer la sécurité de ton PC prend quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae  https://forum.pcastuces.com/default.asp

Pense a installer un parefeu a la place de celui de windows qui ne vaut pas grand chose
=========================================================================

Autre conseils :

--Comportement a adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

--Essaye le navigateur Firefox plus sur/securisé qu IE
Firefox n utilise pas le dangereux protocole ActiveX
-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/


Verifie tes mises a jours des differents softs regulierement ici https://www.flexera.com/products/operations/software-vulnerability-management.html 
Tuto   https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
Si Java est a mettre , il faut alors desintaller les anciennes versions de java via panneau de config / ajouts et suppression de programme.

=========================================================================

Logiciels interressants a avoir

=> Ad-aware SE
 https://www.google.com  ou http://www.lavasoft.de/support/download/#free
Tutos :
http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
démo 
http://pageperso.aol.fr/balltrap34/adwseflash.zip 
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

=> SpyBot-Search & Destroy  1.5  https://www.safer-networking.org/download/

 démo d utilisation 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ 
 Tuto :
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

=> a² free (anti-trojans)

- Téléchargement : https://www.emsisoft.com/fr/home/antimalware/
- Tuto : http://perso.orange.fr/jesses/Docs/Logiciels/a-squared.htm

=> ZebProtect

https://www.zebulon.fr/dossiers/autres/40-zebprotect.html
http://telechargement.zebulon.fr/123.html

=========================================================================

On cloture donc ce sujet...

Bonne journée et bonnes lectures.Salut

&#1088;&#1072;&#1096;&#1072; &#1088;&#1091;&#1083;&#1080;&#1090; · Answer

&#1074;&#1099; &#1087;&#1080;&#1079;&#1076;&#1077;&#1094; &#1080;&#1076;&#1080;&#1086;&#1090;&#1099; &#1088;&#1091;&#1089;&#1089;&#1082;&#1080;&#1081; &#1091;&#1095;&#1080;&#1090;&#1077; &#1089;&#1091;&#1082;&#1080; &#1087;&#1086;&#1090;&#1086;&#1084; &#1095;&#1077; &#1090;&#1086; &#1087;&#1080;&#1096;&#1080;&#1090;&#1077; &#1054;&#1051;&#1045;&#1053;&#1048; &#1089;&#1088;&#1072;&#1085;&#1099;&#1077; &#1087;&#1087;&#1094; &#1074;&#1099;
&#1095;&#1077; &#1079;&#1072; &#1103;&#1079;&#1099;&#1082; &#1080;&#1079;&#1074;&#1088;&#1072;&#1097;&#1077;&#1085;&#1094;&#1077;&#1074; ??

gen-hackman · Answer

mdr

Virus Worm.win32.perlovga.a

25 réponses

Discussions similaires

Newsletters