il y a 2 ou + virus mon pc portable

Question

Bonjour,
Un de mes enfants a installé MSN messager ou un truc comme ça, sur le portable de ma femme et résultat avast trouve 2 virus mais n'arrive pas a les virés.
Moi je n'y arrive pas plus :o( J'ai desinstallé tout ce qui me semblé pas bon, j'ai mis a jour avast et fait tourner ad-Aware se, mais rien n'y fait.
Les virus se nomment "Win32:TratBHO" et "Win32:Vapsup-EB"
Alors, si quelqu'un peux m'aider ca serai cool.
Je voudrai aussi vous dire que je n'y connais pas trop en informatique, en espérant que votre solution ne sera pas trop compliqué ;o)
Par avance merci

beuz29_ · Answer

si tu n'es pas contre l'anglais essai l'antivrus "antivir" qui est assez leger et efficace, en tout cas plus que avast! !!

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat  et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

beuz29_ · Answer

c'est un anglais assez intuitif...enfin si tu as quand meme les bases !!!

bibi · Answer

Rapport GenProc 1.84 [1] effectué le 08/05/2008 à 19:33:22,99 - Windows XP  

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- Navilog1 (par IL_MAFIOSO) http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe sur ton bureau. Double clique sur navilog1.exe pour lancer l'installation, et suis les instructions jusqu'à  la fin de l'installation.  C'est tout pour le moment. 
 
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant. 
 
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "Administrateur") ***** 
 
 
# Etape 2/ 
 
* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider ; choisis ta langue et valide, le fix va s'exécuter automatiquement. Patiente jusqu'au message : *** Nettoyage Termine le ..... ***, le bloc note va s'ouvrir : sauvegarde le rapport de manière à le retrouver, puis referme le blocnote. Ton bureau va réapparaitre
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches, puis rends-toi à l'onglet "processus" ; clique en haut à gauche sur fichiers et choisis "exécuter", tape explorer et valide. Celà fera apparaitre ton bureau.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" - oooFavorite

=> Supprime-les tous 
 
# Etape 3/  
 
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau. 
 
# Etape 4/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 
 
# Etape 5/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 6/ 

Redémarre normalement et poste, dans la même réponse : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ; 
- Le contenu du fichier cleannavi.txt  qui se trouve dans Poste de travail  C:\ ; 
- Le contenu du rapport MSNfix situé sur le Bureau ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
~~ Arguments ~~

# Détections GenProc 1.84 08/05/2008 19:33:22,95 - C:\Documents and Settings\Administrateur\Bureau\GenProc\GenProc\outil 

Navipromo:le 08/05/2008 à 19:33:34,30 HKCU\....\Lanconfig 
Smitfraud:le 08/05/2008 à 19:33:43,46 "C:\Program Files\akl" 
MSNFix:le 08/05/2008 à 19:33:55,18 "C:\WINDOWS\a.bat"

beuz29_ · Answer

a mon avis tu doit suivre les instructions...

eZula · Answer

effectivement

bibi · Answer

Copie ce qui suit dans un fichier texte et redémarre en mode sans échec ?????

J'ai déziper MSNFix et j'ai un dossier jaune MSNFix sur le bureau
Je ne sais pas quoi copier, dans le fichier texte
Vous pouvez me dire svp

beuz29_ · Answer

je ne suis pas au courant de toute cette procedure, je ne sais pas quoi te dire moi en tout cas...

beuz29_ · Answer

recherche ces deux fichier sur google t'aura des sites ou ca te dira ce que c'est

eZula · Answer

il faut que tu ailles jusqu'au bout de la procédure GenProc, à ce moment là on verra ce qu'il en est

eZula · Answer

Tu n'as pas posté le rapport SmitfraudFix option2, c'est normal ?

----------------


# Etape 1/ Télécharge :

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau


# Etape 2/

* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- le rapport SmitfraudFix option2

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

eZula · Answer

éteins le a la main alors

eZula · Answer

Non, ce n'est pas la peine. Utilise l'option "add more files" de Vundofix pour éliminer ces fichiers :

C:\WINDOWS\system32\cbXRIxYR.dll
C:\WINDOWS\system32\rqRJDvvU.dll
C:\WINDOWS\system32\vckylenq.dll

il faudra poster le rapport et un nouveau HijackThis

eZula · Answer

c'est par un clic droit dans la zone blanche que tu accèderas à cette option

eZula · Answer

Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

O2 - BHO: (no name) - {3DA33EA0-84A2-40F2-A674-ADECE03D05D5} - C:\WINDOWS\system32\ddcDvusQ.dll
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\rqRJDvvU.dll 
O24 - Desktop Component 0: (no name) - (no file) 

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked"

Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe OTMoveIt de OldTimer sur ton Bureau.
[*]Double-Clique sur OTMoveIt.exe pour le lancer.
[*]Copie le chemin des 2 fichiers suivants en selectionnant [b]TOUT[/b] et en appuyant sur CTRL+C (ou, après avoir sélectionné, clic-droit et choisis Copier) :

C:\WINDOWS\system32\ddcDvusQ.dll
C:\WINDOWS\system32\rqRJDvvU.dll

[*]Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller. Clique sur le bouton rouge Moveit! et Ferme OTMoveIt.
Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes

Poste le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles + nouveau rapport HijackThis

eZula · Answer

Le dernier ne veut pas partir

Copie les lignes en italique suivantes, d'un trait :

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44E8FBD7-F1AF-493F-815C-D4C22FA18CF7}

Files to Delete:
C:\WINDOWS\system32\ddcDvusQ.dll

--> Clic droit / "copier"

Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte". Ouvre-le et colle dedans ce que tu viens de copier précédemment
- Enregistre ce fichier sur ton bureau (nom : mad.txt)

- Télécharge à présent The Avenger ici http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
- Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
- Clique sur "Ok"
- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
- Sélectionne le fichier mad.txt qui est sur ton bureau
- Clique sur le feu vert pour lancer le script
- Clique sur "Oui"
- Accepte de redémarrer ton pc

après le redémarrage :

- Ouvre le fichier C:\[b]avenger.txt/b et copie/colle son contenu ici.
- nouveau Log HijackThis

eZula · Answer

c'est un peu vieillot les instructions que je t'ai données. En fait tu as une fenêtre "Input script here" dans laquelle tu peux coller les lignes directement, ensuite, cliquer sur "Execute"

eZula · Answer

Il y a quoi dans ton script, très exactement ? pas de première ligne vide ?

eZula · Answer

Je ne vois pas très bien ce qui se passe avec Avenger, ce n'est pas la première fois que ce genre de message interromp les instructions qui syntaxiquement sont bonnes.

Lance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\ddcDvusQ.dll
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)

et poste un nouveau rapport HijackThis

eZula · Answer

Bon, il y a bien les solutions du type Killbox ou FileAssassin mais je crains que l'issue ne soit impitoyablement la même
Donc notre objectif, tu l'as compris, c'est de supprimer ce fichier C:\WINDOWS\system32\ddcDvusQ.dll

Qu'est-ce qu'il nous reste comme solution à peu près valable, après tous ces essais infructueux ?
- script combofix
- console de récupération

qu'est-ce qui te tente ?

eZula · Answer

On peut essayer les deux en fait

supprime Combofix et retélécharge-le. Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en italique :

File::
C:\WINDOWS\system32\ddcDvusQ.dll

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44E8FBD7-F1AF-493F-815C-D4C22FA18CF7}]

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,tape 1 puis valide.
[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt + HijackThis

eZula · Answer

Je crois qu'il vaut mieux éviter Combofix avec ce pc

Elimine ces fichiers avec OTMoveIt :

C:\WINDOWS\mkrndofl.dll
C:\WINDOWS\svorbmke.exe
C:\Documents and Settings\All Users\Application Data\azsdcrap
C:\WINDOWS\system32\ebetmtcj.exe

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et poste un rapport Panda https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

bibi · Answer

Petit détail que j'ai oublié, jai plus ll'icone d'avast a coté de l'horloge et du coup, plus d'alerte virus

eZula · Answer

En fait il te manque la valeur O4 de démarrage ashdisp.exe, vois si ceci résoud ton pb https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dview%26parentcategoryid%3D112%26group%3Dfre#idt_8948

fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé.

eZula · Answer

Mais tu as essayé la solution proposée précédemment https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dview%26parentcategoryid%3D112%26group%3Dfre#idt_8948 ?

eZula · Answer

oui ça semble ok.

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein) http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe pour nettoyer les utilitaires téléchargés.

* Lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Utilise hebdomadairement ce petit programme http://filehippo.com/updatechecker/UpdateChecker.exe pour effectuer tes mises à jour logicielles. Il suffit de le lancer (aucune installation n'est requise). Les liens des mises à jour disponibles apparaitront alors dans une page web. Conseil : n'installe pas les version "beta".
* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 

* Note importante : "Les comptes Administrateur ne sont pas appropriés pour une utilisation occasionnelle ; toute personne utilisant votre ordinateur devrait par conséquent disposer d'un compte utilisateur limité afin de pouvoir accomplir des activités ordinaires, telles que le traitement de texte, la messagerie, le mutlimédia, la navigation sur le Web... Si vous êtes victime d'une attaque par un logiciel malveillant, l'attaquant peut accéder à votre ordinateur par l'intermédiaire du compte auquel vous êtes connecté ; des comptes limités donnent à l'attaquant un accès restreint, tandis qu'un compte administrateur lui donne un accès total."
=> Voir https://www.microsoft.com/de-ch

à+

eZula · Answer

1° oui après tout ça ne coute rien, désinstalle-le d'abord avec cet utilitaire https://www.avast.com/fr-fr/uninstall-utility

2° il est lancé à chaque démarrage par cette valeur :

O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe 

si tu fais un clic droit sur l'icone, tu as peut être une option pour éviter ce problème, si tu estimes que c'en est un

3° vu la couleur de l'icone, ça ressemble à une vieille version d'outlook. Et si tu réponds oui à la question de la désinstallation ?

Il y a 2 ou + virus mon pc portable

27 réponses

Votre réponse

Newsletters