Virus ^^^^^.exe (circonflexes ???)

Wartoutou Messages postés 28 Statut Membre -  
••RiverToo•• Messages postés 1098 Statut Membre -
Bonjour,
Je me fais le relai d'un cousin que je tente d'aider depuis un moment. Un fichier récalcitrant ^^^^^.exe (5 accents circonflexes) s'avère proprement indestructible. Ce virus serait la conséquence de photo.zip.
Nous avons essayé la procédure d'éradication avec msnfix en décompressant dans le dossier au niveau de C:\
et voici le post que nous a laissé msnfix :

MSNFix 1.701

C:\MSNFix\MSNFix
Fix exécuté le 08/04/2008 - 12:52:27,90 By BUREAU
mode sans échec

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\^^^^^.exe
... C:\WINDOWS\system32\^^^^^.exe
... C:\WINDOWS\system32\real.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\^^.exe
/!\ ... C:\WINDOWS\system32\^^^^^.exe
/!\ ... C:\WINDOWS\system32\^^^^^.exe
/!\ ... C:\WINDOWS\system32\^^^^^.exe
/!\ ... C:\WINDOWS\system32\^^^^^.exe
/!\ ... C:\WINDOWS\system32\real.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\real.txt
.. OK ... C:\WINDOWS\system32\^^.exe

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 08042008_12552623.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^.exe

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Par ailleurs j'ai essayé avec killbox : peine perdue. Cette saloperie de virus résiste toujours et encore.
En désespoir de cause, on a essayé vundofix et ccleaner...
Y-a-t-il une solution alternative au suicide dans un cas pareil ? Merci de nous répondre.
Configuration: Windows XP
Firefox 2.0.0.13

5 réponses

  1. ••RiverToo•• Messages postés 1098 Statut Membre 53
     
    Bonjour

    ====================HIJACKTHIS===============================

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    ====================================================================

    Tiens moi au courant

    ••RiverToo••
    0
  2. dou-l Messages postés 2871 Statut Membre 61
     
    slt

    jte laisse finir

    ++
    0
    1. ••RiverToo•• Messages postés 1098 Statut Membre 53
       
      hmmm hmmm
      0
    2. ••RiverToo•• Messages postés 1098 Statut Membre 53
       
      Ok :)
      0
  3. dou-l Messages postés 2871 Statut Membre 61
     
    OK
    0
  4. Wartoutou Messages postés 28 Statut Membre 7
     
    D'abord, merci d'avoir répondu.
    Je voulais te signaler que les deux premiers liens que tu m'as donnés sont morts a priori (erreur 404).

    Sinon, voilà le rapport HijackThis:

    Logfile of HijackThis v1.97.7
    Scan saved at 14:23:33, on 08/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
    C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\RALINK\Common\RaUI.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\BUREAU\Bureau\HIJACK\HijackThis\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: Statistiques d’Anti-Virus Internet (HKLM)
    O9 - Extra button: Ajout Direct (HKLM)
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer (HKLM)
    O9 - Extra button: Organise-notes (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D165E2C2-461C-4412-9290-81033A37558B}: NameServer = 192.168.0.1

    Voilà

    Merci encore

    plus plus
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ••RiverToo•• Messages postés 1098 Statut Membre 53
     
    ton rapport n'est pas entier !

    Il doit aller jusqu'a ligne 023
    0