probleme virus !!! Résolu/Fermé

Question

Bonjour,
au secour mon poste deviens tres fou. Voiçi le rapport que le Logfile of Trend Micro HijackThis v2 ma donner. J'utilise avaste et maintenant que dois-je faire ??????
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:32, on 03/01/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32
ewmaxxsv234.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ooVoo\ooVoo.exe
C:\WINDOWS\System32\vedxg6ame4.exe
C:\Windows\xpupdate.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\System32
ewmaxxsv234.exe
O4 - HKLM\..\Run: [Smart Protector Pro] C:\WINDOWS\vmmreg32.exe
O4 - HKLM\..\Run: [bc737561] rundll32.exe "C:\WINDOWS\System32\itpdhoac.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Magnify] Magnify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Magnify] Magnify.exe (User 'Default user')
O4 - Startup: Magnifier.lnk = C:\WINDOWS\system32\magnify.exe
O4 - Startup: On-Screen Keyboard.lnk = C:\WINDOWS\system32\osk.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O24 - Desktop Component 0: (no name) - https://www.isabella.fr/images/fondpapier.gif

nardino · Answer

Bonsoir,
Analyse en cours...A tout à l'heure.

lewis34 · Answer

bonsoir rapidement apres je vais au dodo
oovoo c'est un truc à toi?
ca me parait bizzare cette chose?
sinon fixe les ligne sur hitjackiss.
regarde comment ca se passe et si c'est bon supprime le dossier
@+

nardino · Answer

Bonjour.

Cette procédure sera effectuée en mode sans échec pour la majeure partie.
Je te conseille :
-Ou de l'imprimer et de cocher les actions effectuées au fur et à mesure.
-Ou de l'enregistrer sur le bureau avec le blocnote sous "Procédure.txt" par exemple, afin de pouvoir le consulter. 

**A télécharger et installer**

-"ATF-Cleaner" de A-Tribune: http://www.atribune.org/content/view/25/1/
Crée un dossier ATF-Cleaner pour mettre le fichier exe, ce programme ne nécessite pas d'installation.
-"OTMoveIt " : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Sur ton bureau.
-"AVG Antispyware" : https://www.avg.com/en-ww/free-antivirus-download
Installe-le.
Tu ouvres AVG AntiSpyware et tu le mets à jour par le bouton [i]Mise à jour[/i] en haut à gauche, et [i]Commencer la mise à jour[/i].
Puis choisis le bouton "Analyse".
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique gauche sur "Actions recommandées" et choisis "Quarantaine"
Coche "Générer un rapport après chaque analyse".
Quitte-le pour le moment.
-"Antivir" de Avira : https://www.avira.com/
Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système. 
Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.
http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.
Mets-le à jour et referme-le.

**Envoi de fichiers pour recherche antivirus**

Clique sur ce lien:
http://secubox.gateweb.org/mad.php

Sur la page d'accueil, clique sur Parcourir, tu pointes vers ces fichiers à tour de rôle et tu les envoies un par un en précisant que cela 
t'a été demandé par la personne qui t'aide en précisant sur quel forum.
Les fichiers à envoyer:

C:\WINDOWS\System32\itpdhoac.dll
C:\WINDOWS\System32\vedxg6ame4.exe
C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe 

Il faudra peut-être que tu autorises la vue des fichiers cachés pour ce faire.
Dans une fenêtre de l'explorateur Windows, Outils, Options des dossiers, Onglet Affichage:
Tu coches
-Afficher les dossiers et fichiers cachés
Tu décoches
-Cacher les extensions des fichiers dont le type est connu.
-Masquer les fichiers protégés du système d'exploitation.
"Cette dernière ligne pourra être recochée à la fin du nettoyage, par mesure de sécurité."
Une fois fait, clique sur "Appliquer".

**Démarrage en mode sans échec**

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter) une fois surligné.
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
"Il faut choisir la même session que celle qui est infectée et non pas la sesssion Administrateur qui n'apparaît que sous ce mode."

**Nettoyage des fichiers temporaires**

Ouvre ATF-Cleaner 
Clique sur "Select All" et sur le bouton "Empty selected", puis "OK" dans le popup "Done" qui s'ouvrira quelques secondes plus tard.
Si tu utilises "Firefox" et/ou "Opéra", clique en haut et renouvelle le nettoyage en refusant d'effacer les mots de passe quand cela te sera demandé.
Puis "Quit".

**Hijackthis**

Tu lances Hijackthis par le bouton "Scanner seulement/Scan only", selon la version et tu coches:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
tos.exe, 
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe 
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\System32
ewmaxxsv234.exe 
O4 - HKLM\..\Run: [Smart Protector Pro] C:\WINDOWS\vmmreg32.exe 
O4 - HKLM\..\Run: [bc737561] rundll32.exe "C:\WINDOWS\System32\itpdhoac.dll",b 
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
tos.exe 
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe 
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: On-Screen Keyboard.lnk = C:\WINDOWS\system32\osk.exe 

Tu cliques sur "Fixer objet/Fix checked" et tu refermes Hijackthis.

**Nettoyage**

Utilise OTMoveIt.
Pour cela ouvre-le, copie et colle la liste ci-dessous  dans le volet de gauche et clique sur "MoveIt!" pour lancer la suppression.

C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe 
C:\WINDOWS\System32
tos.exe
C:\WINDOWS\System32\kernelwind32.exe
C:\WINDOWS\System32
ewmaxxsv234.exe
C:\WINDOWS\System32\itpdhoac.dll
C:\WINDOWS\System32\vedxg6ame4.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\vmmreg32.exe

Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas attends la fin de la procédure pour redémarrer.

**Scan anti-malwares et anti-troyens**

Lance AVG Antispyware. 
Tu choisis dans Analyse : "Analyse complète du système".
Puis quand le scan est terminé, tu choisis Appliquer les actions, bouton en bas à gauche.
Tu sauves le rapport pour le poster plus tard. 

Lance Antivir, tu cliques sur l'icône du bureau pour le lancer.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
A la première alerte :
Tu choisis "Moved to quarantine" à la première alerte et tu coches la case "Apply selection to the all following detections".
Quand le scan est terminé, tu clique sur End.

**Redémarrage en mode normal**

Poste les rapports AVG AntiSpyware, OTMoveIt, Antivir et un nouveau log Hijackthis établi en mode normal.
Donne des infos sur l'évolution de la situation et les problèmes éventuellement rencontrés lors de la procédure.

**Mises à jour à effectuer**

-Acrobat Reader :
https://get2.adobe.com/reader/otherversions/
Décoche Téléchargez également :Adobe Photoshop® Album Édition
Par Ajout/Suppression des programmes, désinstalle toutes les autres versions.

**Conseil**

Installe un pare-feu:

https://fr.norton.com/

ou

http://www.sunbelt-software.com/Kerio-Download.cfm

@+

tizio87 · Answer

oui oovoo est un truc de messagerie instantanée come msn ou yahoo messenger. Que faire?

tizio87 · Answer

bonsoir nardino, j'essaye puis je te faire le compte rendu. Merçi encore et bonne nuit.

Probleme virus !!!

5 réponses

Discussions similaires