Virus récalcitrant

Fermé
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 - 2 mai 2008 à 15:19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 11 juin 2008 à 07:46
Bonjour,
J'ai un virus qui se loge dans C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0344707.dll et pareil en remplacant le dernier chiffre par 8. Ces fichiers sont respectivement infectés par Win32:Agent-WJT [Trj] et Win32:Mutant-G [Trj]. Mon antivirus avast me demande que faire (j'ai fait un scan au démarrage), et je lui dis tantôt de mettre en quarantaine, tantôt de supprimer mais chaque fois ils reviennent. Que faire? Merci d'avance!

111 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
13 mai 2008 à 23:44
Re,

pour le post 98.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Tu n'as pas de parefeu non plus sur celui-ci.

Et il faut mettre à jour Internet Explorer.

Est ce qui on a fait tourner MBAM sur cet ordi ?

Sinon, fais le.
0
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
13 mai 2008 à 23:49
ok je vais le faire, par contre pour l'autre pc avec lequel on a terminé, j'ai encore un léger problème: j'avais décoché presque tous les programmes au démarrage via msconfig, et il existe toujours mvmeqe.exe par exemple, qui est un virus que nous avons éradiqué. il est décoché bien entendu, mais bon il se trouve toujours dans la liste. on peut y faire quelque chose?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
14 mai 2008 à 00:03
Re,

est ce que le fichier existe encore ?
0
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
14 mai 2008 à 11:19
non, il n'existe plus.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
14 mai 2008 à 11:23
j'ai fait comme tu as dit pour hijackthis. je vais faire tourner MBAM. comment fait-on pour mettre à jour internet explorer?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
14 mai 2008 à 11:49
Re,

pour la maj de IE :

https://support.microsoft.com/fr-fr/allproducts

Pouyr le fichier de msconfig, il est mentionné sur quel onglet ?
0
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
14 mai 2008 à 14:34
Pour MSConfig, c'est dans l'onglet démarrage...

Voilà le rapport MBAM:

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 745

Type de recherche: Examen complet (C:\|)
Eléments examinés: 154227
Temps écoulé: 47 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
14 mai 2008 à 14:57
Re,

pour l'ordi du rapport MBAM, tu fais un emise à jour de l'antivirus, tu fais un scan minutieux.

Tu psotes le rapport.

S'il n'ya rien, ToolsCleaner et rapport.


Pour l'autre, je vois ce soir sur mon ordi ce qu'il faut faire.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
14 mai 2008 à 23:03
Re,

l'ordi a redémarré depuis que tu as décoché la case ?

Si oui, je ne sais pas bien quoi faire.

Tant que le fichier est inexistant (et je ne vois pas comment il reviendrait), rien ne peut se passer.

A part ça, on en est où ?
0
me pardonner cutter4. Désolés pour le mauvais Français, mais moi suis réellement les anglais et les AM using un traducteur. J'ai le virus vtUmMdax.dll. Vous avez dit que vous l'avez déplacé à la section de quarantaine de votre ordinateur. Je ne peux pas contrôler ceci. Chaque fois que j'essaye à , je reçois toujours un message d'erreur. Pouvez-vous svp me donner des instructions étape-par-étape sur la façon dont enlever le virus de vtUmMdax.dll ? J'espère que toi ou quelqu'un d'autre a vu ceci et peut m'aider avec mon problème. Merci.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
11 juin 2008 à 07:46
Hello help,

I think we finished with cutter4, so we can start here.

Do that :

Download Hijackthis here :

http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

and put it on yoir Desk


Double-click HJTInstall.exe and launch it

It will be installed here :

C:\Program Files\Trend Micro\HijackThis

Accepte the license("I Accept")

Choose "Do a system scan and save a log file"

Click "Save log" and register the report with notepad.exe

Click "Edition -> Sélectionner tout", puis sur "Edition -> Copier" and copy the whole report

Past it in your answer.

Don't fix any line, it could damage your OS.



Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
0