antivirus xp 2008 vrais virusFermé

Question

Bonjour,
je voudrer me debarasser de ce virus mais je ne peux pas le supprimer voici le rapport de hijackthis et merci d'avence

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05: VIRUS ALERT!, on 15/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WScript.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\jsjklmra\pelivkhe.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\lphc7hmj0et11.exe
C:\Program Fileshc3hmj0et11hc3hmj0et11.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\pphc7hmj0et11.exe
C:\Documents and Settings	azebama.dl_
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\FlashGet\FlashGet.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =  Super TUX by Zizoutec 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: qndsfmao - {9BAB10CC-0EE5-4B15-9017-B7AF2326724D} - C:\WINDOWS\qndsfmao.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [lphc7hmj0et11] C:\WINDOWS\system32\lphc7hmj0et11.exe
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\VAV\vav.exe
O4 - HKLM\..\Run: [SMrhc3hmj0et11] C:\Program Fileshc3hmj0et11hc3hmj0et11.exe
O4 - HKLM\..\Run: [400eabbd] rundll32.exe "C:\WINDOWS\system32\gbullppc.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\VAV\vav.exe
O4 - HKLM\..\Policies\Explorer\Run: [ORDINATEUR] .vbe
O4 - HKLM\..\Policies\Explorer\Run: [Vvig1DL6f1] C:\Documents and Settings\All Users.WINDOWS\Application Data\jsjklmra\pelivkhe.exe
O4 - HKUS\S-1-5-19\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1103D01E-9FE2-4CE4-B0A5-A87F3139AF44}: NameServer = 41.221.20.4 193.251.169.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AD4C31A-D6A6-460C-8BD3-6E0AFB31BEF6}: NameServer = 10.10.1.128
O17 - HKLM\System\CS1\Services\Tcpip\..\{1103D01E-9FE2-4CE4-B0A5-A87F3139AF44}: NameServer = 41.221.20.4 193.251.169.165
O21 - SSODL: msgsysmnt - {51E3C388-1897-5570-090D-01F39FA00DBA} - C:\Program Files\kmtmtxf\msgsysmnt.dll
O21 - SSODL: kvxqmtre - {FE972DC5-1262-4809-AE19-0F9E70F555BD} - C:\WINDOWS\kvxqmtre.dll
O21 - SSODL: evgratsm - {4E70D035-F187-4098-A51D-8BD999DB1110} - C:\WINDOWS\evgratsm.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

^^Marie^^ · Accepted Answer

Salut

sherred tu lui fais installer une rogue ............................

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php 

http://www.malekal.com/tutorial_SmitFraudfix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto

Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.

Bon courage
A++

mum1989 · Answer

desactive ça  au demarage
[Antivirus] C:\Program Files\VAV\vav.exe


la solution est simple javais reussi a le supprimer
va dans le dossier ou il est dans  program file 
et suprime  le dossier VAV

abderrazzek2000 · Answer

J'ai eu le même problème. Alors j'ai utilisé un antivirus, le anvirus xp 2000 a été nettoyé mais, son lancement à chaque connexion à l'interne persistait et ça me génait. J'ai pensé à supprimer le fichier EXE de ce logiciel, mais il refusait de se laisser faire car il était résidant en mémoire. Aussi, j'ai démarré le PC en mode sans echec et j'ai pu enfin effacer le fichier EXE. A propos, ce virus a utiliser un autre logiciel pour s'introduire à mon PC.
si tu as besoin d'autres précisions, contacte moi.

uchiha_madara · Answer

merci pour les reponces je vais essayer

uchiha_madara · Answer

j'ai supprimer le dossier vav et j'ai redemarer mais rien ne se passe j'ai essayé de redemarrer en mode sans echec mais je n'arrive pas

uchiha_madara · Answer

merci shrred je vais voir ca

uchiha_madara · Answer

shrred ce spyhunter est lui meme un spyware

uchiha_madara · Answer

merci marie je vais essayer maintenant

uchiha_madara · Answer

salut
voici le rapport
SmitFraudFix v2.329

Rapport fait à 13:57:31,14, 16/07/2008
Executé à partir de C:\Downloads\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings	azebama.dl_
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.ORDINATEUR


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.ORDINATEUR\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.ORD\Favoris

C:\DOCUME~1\ADMINI~1.ORD\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\ADMINI~1.ORD\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\ADMINI~1.ORD\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\ADMINI~1.ORD\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\ADMINI~1.ORD\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\ADMINI~1.ORD\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: kgxmotapexd.dll
BHO: QXK Olive - {CC7A93B7-2698-4A5F-A745-3074CB042395}
TypeLib: {ACEC0C24-7988-4F72-8C79-80DE3ACA8C68}
Interface: {9580A1CE-D57A-4569-BE55-0EDE5ABCFBE9}
Interface: {AC6C7703-E904-4ACF-BEB1-EB7DD295BC2F}

[!] Suspicious: qndsfmao.dll
Toolbar: qndsfmao - {9BAB10CC-0EE5-4B15-9017-B7AF2326724D}
TypeLib: {973739AC-AC1E-4EF7-A828-4EE084D60A88}
Interface: {B46F43BF-1B39-477F-BB73-BD3447D745F2}
Classe: qndsfmao.bwdf
Classe: qndsfmao.ToolBar.1

[!] Suspicious: evgratsm.dll
SSODL: evgratsm - {EFEF086F-B2A2-4164-97FE-64D9D0886615}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 10.10.1.128

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 41.221.20.4
DNS Server Search Order: 193.251.169.165

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1103D01E-9FE2-4CE4-B0A5-A87F3139AF44}: NameServer=41.221.20.4 193.251.169.165
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AD4C31A-D6A6-460C-8BD3-6E0AFB31BEF6}: NameServer=10.10.1.128
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1103D01E-9FE2-4CE4-B0A5-A87F3139AF44}: NameServer=41.221.20.4 193.251.169.165
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AD4C31A-D6A6-460C-8BD3-6E0AFB31BEF6}: NameServer=10.10.1.128
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9AD4C31A-D6A6-460C-8BD3-6E0AFB31BEF6}: NameServer=10.10.1.128


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

^^Marie^^ · Answer

OK

On continue

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 
 https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

---------------------------------------------------------------------------- 
Relance le programme Smitfraud, 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

+ un log Hijackthis en Mode Normal

uchiha_madara · Answer

salut 
je n'arrive pas a demarrer le mode sans echec ,j'ai taper f8 j'ai choisi mode sans echec aprés un ecran noir est apparu et c'est tout

uchiha_madara · Answer

merci marie pour ton aide je vais formater le pc c'est la seul solution je pense qui'ilya plusieures virus dans mon pc merci une autre fois pour ton aide

^^Marie^^ · Answer

Arfff ...

tu as essayé F5 ?

uchiha_madara · Answer

oui j'ai essayé

^^Marie^^ · Answer

Installe Antivir

ANTIVIR &#9658; anti-virus gratuit
https://www.avira.com/
Tuto
http://speedweb1.free.fr/frames2.php?page=tuto5 
http://mr.dodo.perso.cegetel.net/tuto21.htm 
https://www.malekal.com/tutorial-sur-lantivirus-antivir/


Fais un scan

Et revient ici

Antivirus xp 2008 vrais virus

15 réponses

Newsletters