Virus.Win32.AutoRun.aim

gga30000 Messages postés 10 Statut Membre -  
 kiki -
Bonjour,
j'aurais besoin de votre aide comme je ne comprend plus rien. Lorsque j'analyse mon disque dur avec Kaspersky, il ne trouve aucun virus. Mais lorque que j'ouvre le disque dur une alerte virus : virus.Win32.AutoRun.aim, apparait et j'ai beau le supprimé il revient aussi vite. J'ai aussi essayé de le supprimer avec Avast et shybot mais eux ne le détecte pas.
Avez-vous une solution pour moi?
Merci
Configuration: Windows XP
Firefox 2.0.0.7

17 réponses

  1. gga30000 Messages postés 10 Statut Membre 1
     
    voici le rappport de OTMoveIt :
    C:\WINDOWS\System.exe moved successfully.

    Created on 12/04/2007 00:15:46
    1
  2. mély30 Messages postés 90 Date d'inscription   Statut Membre 2
     
    slt
    essai de jeter un coup d'oeil dans ce qui se démarre lors de l'ouverture de ta session...
    pr cela va dans démarrer->exécuter->tapes "msconfig" va dans longlet "démarrage" et dis moi ce qu'il y a de coché
    0
  3. michel1964 Messages postés 7 Statut Membre 1
     
    salut, c'est normale, d'après tes symptomes, c'est un vers générant automatiquement le fichier effacer!
    donc regarde une fois dans le repertoire "windows/temp" donc repertoire temporaire, et la ce trouve principallement le fichier fautif, qui regénère automatiquement ton virus!

    mais cela ce peut, que il c'est multiplier, donc plusieurs répertoires disposant de plusieurs programme vers regénérant, le mieux c'est de vider dans un premier temp ton répertoire temp, et de supprimer tout ce qui se trouve dan ta corbeille.
    puis tu supprime encore une fois ton programme virus!

    et après cela tu me dit si cela a resolu ton problème, sinon il faut erradiquer a partir de la base de registre!!
    0
    1. gga30000 Messages postés 10 Statut Membre 1
       
      j'ai essaie de vider le fichier temp mais deux fichiers restent toujours présent. j'ai ensuite vider la corbeille et le virus mais il revient toujours...
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > gga30000 Messages postés 10 Statut Membre
         
        stp, essaye quand tu réponds d'aller cliquer sur répondre en bas de la page, car sinon on risque de ne pas s'y retrouver

        on va nettoyer ton pc, laisse moi le temps de regarder ton rapport
        0
  4. gga30000 Messages postés 10 Statut Membre 1
     
    toute la liste des elements de démarrage est activée .
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * Télécharge HijackThis et poste le rapport stp
    http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    * Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

    ------

    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image (merci balltrap)
    demo hijackenregistrement http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    0
    1. gga30000 Messages postés 10 Statut Membre 1
       
      voici le resultat du scan :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:02:02, on 02/12/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\System.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\00THotkey.exe
      C:\WINDOWS\system32\TFNF5.exe
      C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
      C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
      C:\WINDOWS\LTSMMSG.exe
      C:\WINDOWS\system32\TPSMain.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\Program Files\NETGEAR\WG511v2\wlancfg5.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\TPSBattM.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Mozilla Firefox\firefox.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F3 - REG:win.ini: load=System
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
      O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
      O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
      O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
      O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
      O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
      O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
      O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
      O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: NETGEAR WG511v2 Wireless Assistant.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {640373B0-6978-4FA5-A9FC-420ECBBC61C7} (Web Viewer Class) - file://C:\Documents and Settings\Gaëlle\Bureau\PublicWeb\dll\zkitlib.dll
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{86085628-F791-49DD-9AD9-D42E0E1FD3A2}: NameServer = 80.10.246.1,80.10.246.32
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
      O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    * lance hijackthis "do a system scan only" puis coche ces lignes :

    F3 - REG:win.ini: load=System
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O16 - DPF: {640373B0-6978-4FA5-A9FC-420ECBBC61C7} (Web Viewer Class) - file://C:\Documents and Settings\Gaëlle\Bureau\PublicWeb\dll\zkitlib.dll

    * toutes applications fermées et hors connexion, clique sur fix checked

    puis supprime

    C:\Documents and Settings\Gaëlle\Bureau\PublicWeb

    ensuite

    * Fait un scan antivirus en ligne avec Internet Explorer
    https://www.bitdefender.fr/
    et copie colle le résultat ici
    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    tuto en image

    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    et reposte un nouveau rapport hijackthis
    0
  8. gga30000 Messages postés 10 Statut Membre 1
     
    le resultat de l'analyse de bitdefender :

    Rapport d'analyse généré à: Sun, Dec 02, 2007 - 19:41:10

    Voie d'analyse: C:\;D:\;

    Statistiques

    Temps
    01:55:57

    Fichiers
    168520

    Directoires
    2834

    Secteurs de boot
    2

    Archives
    7184

    Paquets programmes
    7328

    Résultats

    Virus identifiés
    2

    Fichiers infectés
    36

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    36

    Info sur les moteurs

    Définition virus

    879823

    Version des moteurs

    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Analyse des plugins
    14

    Archive des plugins
    38

    Unpack des plugins
    7

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0955649.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0955649.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0956255.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0956255.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0956891.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP366\A0956891.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957133.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957133.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957260.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957260.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957745.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0957745.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0958338.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0958338.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0958600.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP367\A0958600.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP368\A0959163.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP368\A0959163.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP368\A0959638.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP368\A0959638.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP369\A0960092.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP369\A0960092.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP369\A0960589.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP369\A0960589.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0961656.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0961656.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0961675.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0961675.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0962041.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0962041.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963990.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963990.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963990.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963991.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963991.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963991.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963992.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963992.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963992.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963993.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963993.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963993.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963994.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963994.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963994.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963995.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963995.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963995.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963996.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963996.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963996.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963997.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963997.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963997.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963998.exe
    Infecté par: Win32.Bagle.101

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963998.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP370\A0963998.exe
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP371\A0973011.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP371\A0973011.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP372\A0974113.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP372\A0974113.inf
    Supprimé

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP372\A0974737.inf
    Infecté par: Win32.Worm.VB.NPM

    C:\System Volume Information\_restore{55317C12-02FA-4961-918D-6F6CCC0C5AE2}\RP372\A0974737.inf
    Supprimé

    C:\WINDOWS\exefnd\122115.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\122115.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\122115.exe
    Supprimé

    C:\WINDOWS\exefnd\2525681.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\2525681.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\2525681.exe
    Supprimé

    C:\WINDOWS\exefnd\2668366.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\2668366.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\2668366.exe
    Supprimé

    C:\WINDOWS\exefnd\2687594.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\2687594.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\2687594.exe
    Supprimé

    C:\WINDOWS\exefnd\6706964.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\6706964.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\6706964.exe
    Supprimé

    C:\WINDOWS\exefnd\7425196.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\7425196.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\7425196.exe
    Supprimé

    C:\WINDOWS\exefnd\76119.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\76119.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\76119.exe
    Supprimé

    C:\WINDOWS\exefnd\87335.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\87335.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\87335.exe
    Supprimé

    C:\WINDOWS\exefnd\95737.exe
    Infecté par: Win32.Bagle.101

    C:\WINDOWS\exefnd\95737.exe
    Echec de la désinfection

    C:\WINDOWS\exefnd\95737.exe
    Supprimé
    0
  9. gga30000 Messages postés 10 Statut Membre 1
     
    rresultat de l'analyse de Hijack :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:43:39, on 02/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\System.exe
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    C:\WINDOWS\LTSMMSG.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Program Files\NETGEAR\WG511v2\wlancfg5.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F3 - REG:win.ini: load=System
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - Global Startup: NETGEAR WG511v2 Wireless Assistant.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{86085628-F791-49DD-9AD9-D42E0E1FD3A2}: NameServer = 80.10.246.1,80.10.246.32
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    des traces de bagle....

    Télécharge ELIBAGLA en bas de cette page
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
    Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
    Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
    Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

    Ne pas rebooter en passant par msconfig.
    0
  11. gga30000 Messages postés 10 Statut Membre 1
     
    pour bagle j'ai utilisé l'antibeagle de bitdefender et il trouve rien par contre le win 32 est de retour...
    0
  12. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    je ne le connais pas. As tu fait tout seul ou bien avec l'aide sur un forum ?

    peux tu passer l'outil que je t'ai demandé quand même stp merci
    0
  13. gga30000 Messages postés 10 Statut Membre 1
     
    je viens de faure l'analyse elibagla et voici le resultat:

    Mon Dec 03 11:29:47 2007
    EliBagle v10.75 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Mon Dec 03 11:30:28 2007
    EliBagle v10.75 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 2716
    Nº Total de Ficheros: 37615
    Nº de Ficheros Analizados: 8684
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  14. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    merci

    ctrl+alt+supp---------onglet processus----------------clic sur nom de l'image une fois pour les mettre par ordre alphabétique.
    puis
    clic droit sur system.exe----------------terminer le processus

    ensuite

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    C:\WINDOWS\System.exe 


    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    et

    reposte un nouveau rapport hijackthis stp

    0
  15. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir
    ok pour celui ci, maintenant il est tard je vais dormir, la suite pour moi demain soir

    bonne nuit
    0
  16. bIEN
     
    bonjour, j'ai le meme probleme de ce virus

    virus.win32.autorun.aim

    worm.win32.autorun.aim

    Peut-quelqu'un m'aider s'il vous plait a eliminer ces virus ?
    0
  17. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    boinjour bIEN,

    peux tu stp te créer ton propre sujet . Merci
    0
  18. kiki
     
    allez dans
    https://www.symantec.com?page=3

    les fichiers à enlever sont bien décrits
    J'ai téléchargé Total commander pour voir les fichiers cachés
    et changer les attributs.
    Pour enlever le system.exe il faut dans le gestionnaire de tâche le desactiver avant.

    Bonne chance
    0