infecté par le virus Win32:Small-JMH [Trj]

Question

Bonjour,
J'ai été infecté par le virus Win32:Small-JMH [Trj] en ouvrant un lien qu'un de mes contacts msn m'avait envoyé...enfin c'est ce que je croyais. Mon antivirus, avast, l'a repéré, donc je l'ai mis en quarantaine. Ensuite, j'ai supprimé les fichiers téléchargés. Je pensais que le virus était parti, mais quand je me suis reconnecté sur msn, le problème est revenu, le virus est donc toujours bien présent.
Je voulais savoir quel était sa dangeurosité, et surtout ce que je devais faire pour m'en débarasser. J'ai vu que d'autres sujets sur ce virus ont été publiés, mais je n'y connais pas grand chose en informatique. Pouvez vous svp m'aider et me guider dans les manipulations à effectuer?!!
Par avance, merci!!

Utilisateur anonyme · Answer

Bonsoir , 

Télécharge MSNFix.zip sur le bureau :


Ps: Il est possible que l'antivirus détecte un virus au téléchargement, mais ne t'inquiete pas , c'est normal.

Décompresse-le (clic droit : Extraire tout).
A la racine du disque dur, déplace le dossier décompressé --> (C:\MSNFix.)


 Ouvre-le et double clique sur le fichier MSNFix.bat

 Fait l'option 'R'.

 Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

 Sauvegarde ce rapport puis poste-le moi.

Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas redemarre le pc.
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

Recommande à tes contacts d'appliquer la même procédure afin de stopper le virus.

Tutorial :  https://www.malekal.com/supprimer-virus-desinfecter-pc/

A+

Lonturkudon · Answer

merci pour tes conseils
Je pense avoir fait ce que tu m'a demandé: j'ai télécharger le logiciel, l'infection a été repéré, une première étape de nettoyage a été faite avant que de redémarrer mon ordi pour finir le nettoyage.
Ensuite un rapport dans le bloque note m'a été envoyé (c'est celui la qu'il faut que je ferme et sauvegarde?). L'ordi s'est rallumé a peu près normalement, mis à part que j'ai eu un message m'indiquant que mon ordi avait subi une alerte sérieuse.
Comment puis-je savoir si le virus est vraiment parti? Dois je me reconnecté à MSN pour savoir, où il y a d'autres vérifications à faire au préalable?

Merci encore

Utilisateur anonyme · Answer

Poste le rapport stp & ne te connecte pas encore sur MSN. ***************** Télécharge HJT Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'située dans le dossier dans C:\ , en ' HJT.exe ' <<<<<<<<< Important !!! <<<<<<< Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe -> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ... Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note ) Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm A+

Lonturkudon · Answer

Voici le rapport:


MSNFix 1.677  
 
C:\MSNFix 
Fix exécuté le 08/03/2008 - 20:29:31,40 By jeff 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
/!\ ...  C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe    
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
************************ Suppression des fichiers       
    
/!\ ...  C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 08032008_20411613.zip
 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

Lonturkudon · Answer

Voici enfin le rapport. Que dois-je faire ensuite? Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:41, on 08/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\WINDOWS\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0d658d78d88e4badbdd4fdfb35338d8c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0d658d78d88e4badbdd4fdfb35338d8c
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jeffhoudmon.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

Re , tu as 2 anti-virus ...

> Vire Avast en t'aidant de ce lien > Désinstaller Avast  'proprement' ( merci espion3004)

*********************************************


Télécharge SDFix et sauvegarde le sur ton Bureau.

Redémarre en MSE

&#8594; Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd ( ou Runthis.bat ) pour lancer le scrïpt.
&#8594; Appuie sur Y pour commencer le processus de nettoyage.
&#8594; Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
&#8594; Appuie sur une touche pour redémarrer le PC.
&#8594; Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
&#8594; Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
&#8594; Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
&#8594; Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
&#8594; Poste moi le rapport.

Bonne chance
A+

Lonturkudon · Answer

Oui j'ai 2 antivirus, mais en fait j'utilisais avast, et j'ai télécharger seulement hier Antivir car j'avais lu que c'était mieux qu'avast, mais la base de donnée d'antivir n'est pas encore mis à jour sur mon ordi. Dois je le faire avant de désinstaller avast?

Lonturkudon · Answer

Sur le lien "MSE" ,je n'ai pas compris à quel moment je dois appuyer sur la touche F8, et combien de tps. J'appuie dès que je redémarre le pc?

Lonturkudon · Answer

Voici le rapport. Approche t-on du but?



[b]SDFix: Version 1.154 [/b]

Run by jeff on 09/03/2008 at 10:20

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe  - Deleted
C:\WINDOWS\system32eal.txt  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-09 10:27:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:9fc308a2
"s1"=dword:848c6704
"s2"=dword:1ac24847
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\WINDOWS\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:66,50,33,37,83,d7,31,0c,ca,a1,4c,b9,57,be,8b,8e,61,72,58,64,6d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,13,07,b9,db,68,b2,42,8d,df,ff,2d,f0,25,b8,db,09,95,..
"khjeh"=hex:b2,6b,87,6d,aa,73,10,81,04,fb,23,ca,6e,9a,26,b0,95,ee,33,f1,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\WINDOWS\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:66,50,33,37,83,d7,31,0c,ca,a1,4c,b9,57,be,8b,8e,61,72,58,64,6d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,13,07,b9,db,68,b2,42,8d,df,ff,2d,f0,25,b8,db,09,95,..
"khjeh"=hex:b2,6b,87,6d,aa,73,10,81,04,fb,23,ca,6e,9a,26,b0,95,ee,33,f1,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:3f,e8,81,e3,ce,48,2f,df,af,87,5d,e6,66,00,9e,3c,66,a3,39,cd,40,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 403


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\eMule0.47c\eMule0.47c\emule.exe"="D:\eMule0.47c\eMule0.47c\emule.exe:*:Enabled:eMule"
"C:\Program Files\Internet Explorer\iexplore.exe"="C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Program Files\Winamp Remote\bin\Orb.exe"="C:\Program Files\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Program Files\Winamp Remote\bin\OrbTray.exe"="C:\Program Files\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
@=""
"C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe"="C:\DOCUME~1\jeff\LOCALS~1\Temp\services.exe:*:Enabled:Flash Media"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 20 Apr 2006         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 19 Dec 2006             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 19 Sep 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT1.tmp"

[b]Finished![/b]

Kiwii · Answer

hello!
désolé de vous interompre mais moi aussi j'ai attraper cette petite bestiole!
j'aitélécharger msnfix mais le virus reviient!!avast le met en quarantaine mais il revient aussi grrrrrrrr
aidez moi!!

Utilisateur anonyme · Answer

Lonturkudon > Reposte un rapport Hijackthis maintenant 

A+

Lonturkudon · Answer

Le voici:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:23, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\WINDOWS\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0d658d78d88e4badbdd4fdfb35338d8c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0d658d78d88e4badbdd4fdfb35338d8c
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jeffhoudmon.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

Re ,

Ta version d'Adobe n'est pas à jour , désinstalle ta version actuelle en passant par ' ajout et supréssion de programmes '

Puis télécharge la dernière , via ce site --> https://get2.adobe.com/reader/otherversions/


Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

https://www.adobe.com/support/security/bulletins/apsb07-01.html

*********************************************************
/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\


1)Télécharge  OTMoveIt2 ( de Old Timer ) 

2)Une fois téléchargé  double-clique sur OTMoveIt2.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

3)puis copie les lignes en gras qui se trouvent en dessous :

C:\Program Files\VVSN
C:\Program Files\PartyGaming\PartyPoker


et colle-les dans le cadre de gauche de OTMoveIt :   "Paste Standard List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.

*********************************************

Va sur ce site -->  https://www.virustotal.com/gui/

Clique sur ' parcourir ' 

Cherche ce fichier : ( mis en gras )

D:\Mes jeux\Titan Poker\casino.exe 

Clique sur ' send ' 

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

-> Poste le moi stp.

*************

Puis va sur ce site :  http://virusscan.jotti.org/de/ 


Et fait analyser le même fichier -> poste le rapport.

**********

3 rapports.

( OtmoveIt + Virustotal + Virusscan )

A+

Lonturkudon · Answer

euh juste une question (pour l'instant!): c'est quel adobe que je dois supprimer? Adobe acrobat 5.0. ? J'ai aussi des Adobe Flash player, je n'y touche pas?

Lonturkudon · Answer

C'est Adobe Reader 8.0 qu'il faut que je télécharge?

Lonturkudon · Answer

voici le premier rapport :

C:\Program Files\VVSN\URL2 moved successfully.
C:\Program Files\VVSN\URL1 moved successfully.
C:\Program Files\VVSN moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Temp moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Language\en_US\images moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Language\en_US\articles moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Language\en_US moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Language moved successfully.
C:\Program Files\PartyGaming\PartyPoker\Images moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff\20070304 moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff\20070302 moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff\20070227 moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff\20070226 moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff\20070225 moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory\globerjeff moved successfully.
C:\Program Files\PartyGaming\PartyPoker\HandHistory moved successfully.
C:\Program Files\PartyGaming\PartyPoker moved successfully.
 
OTMoveIt2 v1.0.20 log created on 03092008_112443

Lonturkudon · Answer

....le 2ème rapport:

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.3.4.0 2008.03.07 - 
AntiVir 7.6.0.73 2008.03.07 - 
Authentium 4.93.8 2008.03.07 - 
Avast 4.7.1098.0 2008.03.09 - 
AVG 7.5.0.516 2008.03.08 - 
BitDefender 7.2 2008.03.09 - 
CAT-QuickHeal 9.50 2008.03.08 - 
ClamAV 0.92.1 2008.03.09 - 
DrWeb 4.44.0.09170 2008.03.08 - 
eSafe 7.0.15.0 2008.03.06 - 
eTrust-Vet 31.3.5597 2008.03.07 - 
Ewido 4.0 2008.03.09 - 
FileAdvisor 1 2008.03.09 - 
Fortinet 3.14.0.0 2008.03.08 - 
F-Prot 4.4.2.54 2008.03.08 - 
F-Secure 6.70.13260.0 2008.03.08 - 
Ikarus T3.1.1.20 2008.03.09 - 
Kaspersky 7.0.0.125 2008.03.09 - 
McAfee 5247 2008.03.07 - 
Microsoft 1.3301 2008.03.07 - 
NOD32v2 2932 2008.03.09 - 
Norman 5.80.02 2008.03.07 - 
Panda 9.0.0.4 2008.03.08 - 
Prevx1 V2 2008.03.09 - 
Rising 20.34.62.00 2008.03.09 - 
Sophos 4.27.0 2008.03.09 - 
Sunbelt 3.0.930.0 2008.03.05 - 
Symantec 10 2008.03.09 - 
TheHacker 6.2.92.238 2008.03.08 - 
VBA32 3.12.6.2 2008.03.05 - 
VirusBuster 4.3.26:9 2008.03.08 - 
Webwasher-Gateway 6.6.2 2008.03.09 - 
Information additionnelle 
File size: 1699840 bytes 
MD5: 6b5667a0d3722f792c59952f2f31f8de 
SHA1: 9d8beca5e3b9111bbdd65a0e84c0da3e23b21384 
PEiD: -

Utilisateur anonyme · Answer

Re , reposte un rapport Hijackthis maintenant
A+

Lonturkudon · Answer

Pour ce qui est du 3ème rapport, je ne peux pour l'instant pas le faire car le site viruscan me dit que le serveur est extremement chargé en ce moment, il font de nouvelles tentatives toutes les trentes secondes.

Sinon, peux tu m'expliquer en 2 mots où en est la situation, quelle est le danger de ce virus, qu'est ce que je ne dois pas faire avec mon ordi en attendant la fin de la manip, et si tu pense que l'on va finir par désinfecter totalement ce virus (et si nous sommes proches du but)?

Merci encore pour ton aide

Lonturkudon · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:00, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\WINDOWS\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0d658d78d88e4badbdd4fdfb35338d8c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0d658d78d88e4badbdd4fdfb35338d8c
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jeffhoudmon.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

Re ,

Ton pc n'est pas à l'heure ?!

Scan saved at 11:50:00

***************************
Relance hijackthis , Choisis ' Do a system scan ' Et fixe ces lignes : ( coche la case à leurs gauches > ' fixchecked ')


O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) 

**************************

Démarrer > executer > ' services.msc ' ,

- Clic droit sur le service cité - Service: SymWMI Service (SymWSC) - Symantec Corporation
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté » 

Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

***********************

Tu n'as pas de pare-feu , 
Télécharge ZoneAlarm  Lit bien tout l'article pour éviter les surprises.

Des soucis avec ? 

*****************

 Télécharge Cleanup
Lance-le et choisi l'option ' cleanup! ' 

Tuto: http://pageperso.aol.fr/balltrap34/democleanup.htm ( merci à balltrap34 )

**************

Télécharge clean : http://www.malekal.com/download/clean.zip

Une fois téléchargé et dézippé ( clique droit , extraire tout) , lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) 

**********

Bonne chance
A+

Lonturkudon · Answer

si si, il est à l'heure, mais je suis en Angleterre, donc j'ai une heure de moins.

Lonturkudon · Answer

Je continuai la procedure, jai telecharge zone alarm, mais apres avoir redemarer le pc, je nai plus acces a internet (jutilise actuellement le pc de quelqun dautres). Je suis aller voir dans "afficher toutes les connexions" et jai vu que jetais bien connecte a internet par le reseau local (bien que je narrive pas a y alller), mais il y a aussi un icone inhabituel : "passerellle internet". Celle ci est notee "indisponible".

Quel est le probleme? Je pense pourtant avoir bien installe zone alarm. Dois je le desinstaller pour pouvoir finir la desinfection? 

Bref, que dois je faire!! Sans internet, ca va commencer a devenir plus compliquer sinon!!

Merci

Lonturkudon · Answer

Bon c'est à rien y comprendre, j'ai éteinds et rallumer l'ordi, et maintenant c'est bon, internet est désormais revenu. (Si je pouvais quand meme avoir ton explication, si tu en as une, ca serait sympa, j'aimerais comprendre "passerelle connexion" voulait dire.

Je me remet dans la procédure...
A+

Lonturkudon · Answer

Voici le rapport clean:
 09/03/2008 a 13:43:22,42 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Everest Poker\" FOUND 
"C:\Program Files\PartyGaming\" FOUND 





Apparemment le virus est toujours la puisque mon antivirus (antivir désormais) en a detecté un.

Ce problème serait-il encore plus compliqué?

Lonturkudon · Answer

Il y a aussi un bloc note intitulé "résultat_clean.txt" qui me dit:

Veuillez svp envoyer le fichier C:\upload_moi_JEFF.tar.gz a l'adresse http://upload.malekal.com 


Que dois-je faire ?
Es tu toujours la?!!

Utilisateur anonyme · Answer

Re ,
Redémarre en MSE

Re-lance clean  -> Choisis l'option 2

Clean va travailler.

Un rapport Va etre généré , poste le moi ;)

********************

Pour l'upload laisse tomber.

A+

Lonturkudon · Answer

voici le rapport de CLEAN:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 09/03/2008 a 18:57:56,64 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\Everest Poker\" 
tentative de suppression de "C:\Program Files\PartyGaming\" 
 
*** Suppression des clefs du registre effectuee.. 





Et maintenant?

Utilisateur anonyme · Answer

Re , 

un rapport Hijackthis stp

a+

Lonturkudon · Answer

Le voici. Et maintenant? On en est ou exactement? Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01:38, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools] "C:\WINDOWS\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0d658d78d88e4badbdd4fdfb35338d8c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0d658d78d88e4badbdd4fdfb35338d8c
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Mes jeux\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jeffhoudmon.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Re , eh bien on en est que c'est pas mal du tout ça !  =)

> Vire Clean
> Vire cleanup

*****************************************************

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

# Double clique sur ToolsCleaner2.exe >
# Clique sur .Recherche
# puis sur Suppression quand la liste est trouvée.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 
# Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

************************************************

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain...

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

Activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur.

********************************************

Le désinfection est finie.

***************************************

Pour prévenir ....

Télécharge Spybot (-> Scan passif + Résident )
+
Télécharge SpywareGuard ( ce logiciel complete très bien Spybot)

**********************************

-------------Infos-------------

Ce lien explique ce que sont les pirates , leurs méthodes ,  comment les contrer , et la prévention ( merci espion3004 )

*****************


Pourquoi sécuriser mon pc ?

**************

Le rapport Toolcleaner =)
A+

Lonturkudon · Answer

-->- Recherche: 

C:\SDFIX: trouvé !
C:\MsnFix: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\jeff\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\jeff\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\jeff\Bureau\Msnfix.zip: trouvé !
C:\Program Files\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\jeff\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\jeff\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\jeff\Bureau\Msnfix.zip: supprimé !
C:\Program Files\HJTInstall.exe: supprimé !
C:\SDFIX: supprimé !
C:\MsnFix: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !




Tu penses que mon ordi est désinfecté? Qu'est ce qui te permets de le savoir? En es tu sur? 

Je continue les dernières étapes de la manipulation...a tout à l'heure (je reprend espoir, merci!! ) ;)

Utilisateur anonyme · Answer

Re , 

> Vire Toolcleaner.

*****

Oui je pense que ton pc est propre ;)

Aussi vire ce dossier en Mode sans echec :

C:\Program Files\VVSN

Je l'avais zappé ^^'



++

Lonturkudon · Answer

Euh ouais, une ultime vérification ne serait pas de refus...avec le tps que cela m'a (nous!) a pris, je préfererais en être sûr pour ne pas avoir fait tout ca pour rien.

Sinon, ca y est, j'ai ré-appliquer la restauration du système, je redémarre l'ordi...
a tout de suite

Lonturkudon · Answer

Je viens de voir ton dernier message
J'ai deja effectué le redémarrage.
Je vais le redémarrer en MSE pour supprimer le fichier dont tu me parle. Mais comment je fais exactement: je clique sur le dossier et je le supprime, tout simplement? Ou faut faire autrement?

Lonturkudon · Answer

OK je m'y met

Lonturkudon · Answer

je n'ai pas réussi à supprimer VVSN, car je ne l'ai pas trouvé dans Program Files
Est il ailleurs?
Que dois je faire?

Lonturkudon · Answer

Ca j'ai déja essayer, je tape cmd dans "éxecuter", puis un écran noir apparait, mais je ne peux pas copier la ligne. Comment faire ? Y a til une autre façon?

Lonturkudon · Answer

Quand je tape cette ligne manuellement (car apparemment je ne peux pas la copier), le résultat me dit "le fichier est introuvable".

Utilisateur anonyme · Answer

En attendant que le scan finisse...

Quand tu vas dans C:\ > programme >  Tu n'as pas un dossier nommé ' VVSN ' ?

Lonturkudon · Answer

OK bitdefender Online Scanner a commencé. 
2h!! Ok, s'il le faut, pas le choix! Sera tu la dans 2h?

Sinon pour ce qui est de VVSN, je fais 'rechercher' puis j'ai taper VVSN, et la recherche n'a rien trouvé. 

Sinon, quelle est ton analyse de la situation actuelle? Pour toi, il n'y a plus de signe du virus? Quelle est sa dangeurosité? 
J'imagine qu'en attendant il n'est toujours pas conseillé de surfer sur Internet, d'aller voir mes messages ou d'utiliser Skype...et encore moins Msn?

Merci pour tes infos et conseils

Lonturkudon · Answer

Non, rien du nom de VVSN.
Pourquoi? Quel est le danger de ce programme? Ce n'est pas normal que je ne l'ai pas?

Utilisateur anonyme · Answer

Re, je creuse pour le dossier alors ,

Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
&#8594; Enregistre-le sur ton bureau
&#8594; Lancer 'OAD.exe' en faisant un double clique sur le fichier
&#8594; Saisir la valeur recherchée -> '   VVSN.exe    ' ( fait un copier/coller )
&#8594; Type de recherche : sélectionner l'option 6 puis valide [entrée] 
&#8594; OAD va maintenant rechercher le fichier.
&#8594; Laisse-le travailler jusqu'à ce qu'il en ait terminé.
&#8594; Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

&#8594;  Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
&#8594; Faire un copier/coller de ce rapport dans ton prochain post.
 
Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation  > ignore


T'en à pour 5 minutes =)

A+

Lonturkudon · Answer

C'est quoi exactement un Spyware? C'est un virus? Celui que j'ai eu par Msn? Ou il était la avant?

Est il possible que le dossier VVSN soit dans un autre dossier, donc pas forcément visible juste après être entré dans Program Files?

Lonturkudon · Answer

OAD me dit que le fichier est introuvable. Je n'ai pas pu copier coller VVSN.exe (je ne crois pas que c'est possible, cela tape '^V'), donc je l'ai tapé moi-même, j'imagine que cela ne change pas grand chose.

Voici le rapport:

 09/03/2008 ---- 21:53:34,78  

----------------------------------
§§§§§§ [VVSN.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VVSN"="C:\Program Files\VVSN\VVSN.exe"

[HKEY_USERS\S-1-5-21-2025429265-1563985344-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5604]
"012"="VVSN.exe"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Utilisateur anonyme · Answer

Re , 
> Vire OAD.

******************************************************

Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation en gras ci-dessous, (copie tout d'un trait) : ( y compris Regedit4, et la ligne vide en dessous )

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VVSN"=-
[HKEY_USERS\S-1-5-21-2025429265-1563985344-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5604]
"012"=-

Puis "fichier" -> "enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Cela doit ressembler à ça

Redémarre en MSE

Double clique sur reglop.reg 

&#8594; tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 

***********************************

Prévient quand c'est fait
A+

Lonturkudon · Answer

Euh, avant de redemarré en mode sans échec...qu'est ce que je dois faire avec bitdefender online scanner....l'analyse n'est pas fini. Il a apparemment deja trouvé 2 fichiers, qu'il a supprimé. Mais l'analyse est loin d'être finie.

Lonturkudon · Answer

Euh, sinon, Antivir a repéré un malware (c'est quoi?) dans HAPedit. Je l'ai mis en quarantaine.
Etant donné que je n'ai Antivir que depuis hier, je ne sais pas trop comment interprété ces alertes. Est ce sérieux ou ou à partir du moment ou c'est en quarantaine, ce n'est pas un problème?

Lonturkudon · Answer

Ceci a t-il un lien avec le virus que l'on essaie de désinfecté?

Lonturkudon · Answer

L'analyse est terminée...avant de fermer bitdefender, je voulais savoir ou je pouvais trouver le rapport de l'analyse?

Utilisateur anonyme · Answer

Normalement il apparait tout seul.

Sinon tu n'as pas un bouton ' report ' et quelque chose dans le genre ?

++

Lonturkudon · Answer

voici le rapport danalyse..
 
	

 

Statistiques

Temps
	

00:39:05

Fichiers
	

34482

Directoires
	

4644

Secteurs de boot
	

3

Archives
	

576

Paquets programmes
	

2956
	

 
	

 

Résultats

Virus identifiés
	

2

Fichiers infectés
	

4

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

4
	

 
	

 

Info sur les moteurs

Définition virus
	

986264

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

16

Archive des plugins
	

41

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

5
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Program Files\DAEMON Tools\SetupDTSB.exe
	

Détecté avec: Application.Adware.Savenow.G

C:\Program Files\DAEMON Tools\SetupDTSB.exe
	

Echec de la désinfection

C:\Program Files\DAEMON Tools\SetupDTSB.exe
	

Supprimé

C:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061748.exe
	

Détecté avec: Application.Adware.Savenow.G

C:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061748.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061748.exe
	

Supprimé

D:\Mes jeux\Pot pourri\stressreducers.exe
	

Détecté avec: Application.Joke.Stressrelief.B

D:\Mes jeux\Pot pourri\stressreducers.exe
	

Echec de la désinfection

D:\Mes jeux\Pot pourri\stressreducers.exe
	

Supprimé

D:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061758.exe
	

Détecté avec: Application.Joke.Stressrelief.B

D:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061758.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{DD002277-5352-427D-A0A3-F3177C39FD9D}\RP337\A0061758.exe
	

Supprimé

Utilisateur anonyme · Answer

Re , 

Parfait ! 

Fait ceci maintenant

++

Lonturkudon · Answer

ok c'est fait
...mais il ne s'est rien passé de spécial, c'est normal?

Utilisateur anonyme · Answer

Re , 

Oui ce n'est pas impressionnant ^^ 

Bon supprime le fichier reglop.reg ...

Et

C'est fini =D

Selon moi , ton pc est nettoyé a 100%   ;) 
donc mon aide s'arrête la , bonne continuation et fait attention où tu surf !


A+ ( pas sur le forum virus/sécurité j'espère )

Lonturkudon · Answer

OK merci beaucoup!
J'espère que tu as raison, je pense que je devrais vite le voir en me connectant sur msn

Encore merci!

J'espère pouvoir dans les jours qui viennent mettre ce problème comme résolu!

Bye!

Lonturkudon · Answer

Problème apparemment résolu....plus aucune trace du virus.
Par contre, mon ordinateur est devenu assez nettement plus lent les premières minutes après le démarrage. Est ce dû a Antivir qui ralentit plus le pc qu'avast? Est ce autre chose? Y a t-il possibilité d'arranger (au moins un peu, car je n'attends bien sur pas de solution miracle!) cela?

Voila, c'est tout!

En tout cas merci beaucoup pour m'avoir aidé....sinon je crois que mon ordinateur serait formaté depuis longtps!!

Merci

Bye

Utilisateur anonyme · Answer

Re , de rien ^^

Pour la lenteur de ton pc , je peut te proposer ces deux liens :

http://www.commentcamarche.net/faq/sujet 3446 windows xp mon pc rame que faire

http://www.commentcamarche.net/faq/sujet 2794 pc ou ordinateur lent windows tres lent au demarrage

A+ ;)

Infecté par le virus Win32:Small-JMH [Trj]

58 réponses

Votre réponse

Discussions similaires

Newsletters