virtumonde .ddl Fermé

Question

Bonjour,
 étant victime de ce trojan infernale qu'est virtumonde je voulais savoir si il était possible de s'en débarasser par un formatage du pc ou bien en redémarrant en mode sans échec avec une restauration system ?

Destrio5 · Answer

Salut,

Si tu formates, tu ne seras plus infecté.

Utilisateur anonyme · Answer

bonsoir oui on peu le virer et non pas de cette maniere ;-)))    ( formater en dernier recoure mais ont peu le virer sans que tu ne perde tes données !! ;-))   )


fait ceci :
 I )

Télécharge sur le bureau" outil de diagnostic et reparation"

ftp://ftp.commentcamarche.com/download/HJTInstall.exe


=Double clique sur l'icone d'hijackthis pour l'instaler
=Clic Do a system scan and save the log
=Coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 






une fois le rapport hijackthis poste , debute ta desinfection  par malwarebytes


II )

1)
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2)
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

3)
A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4)
Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5)
Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6)
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7)
Dans l'onglet analyse, selectionne analyse complete et clique sur le bouton Rechercher pour démarrer l'analyse.

8)
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10)
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11)
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse afin de le poster entier sur le forum . Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12)
Ferme MBAM en cliquant sur Quitter.

bibifoot12 · Answer

merci pour tes instructions el carosso mais une restauration du system ne serait-elle pas plus simple comme manipulation

bibifoot12 · Answer

merci beaucoup, me voilà vraiment rassurer j'ai bien suivi tes instructions et ça a marché. MBAM  est un super programme. Etant donné que les fichiers contaminés se terminaient par ".ddl", j'ai par la suite fait une recherche à l'aide du poste de travail qui n'à trouver aucun fichier en ".ddl" (je ne sais pas si sa a servi à quelque chose mais sa m'a satisfait lol ) . D'autre part mon ordi fonctionne à nouveau comme avant . merci beaucoup , effectivement je n'ai pas eu besoin d'aller jusqu'à le formater

Utilisateur anonyme · Answer

bonjour ton types d'infection est tenace fait ceci pour controler stp



I )

Télécharge sur le bureau" outil de diagnostic et reparation"

ftp://ftp.commentcamarche.com/download/HJTInstall.exe


=Double clique sur l'icone d'hijackthis pour l'instaler
=Clic Do a system scan and save the log
=Coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

II )

poste moi aussi le rapport de malwaresbytes anti malwares

bibifoot12 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36, on 23/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe

bibifoot12 · Answer

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

00:57:40 23/08/2008
mbam-log-08-23-2008 (00-57-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 100214
Temps écoulé: 18 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP235\A0030078.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP235\A0030140.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP235\A0031161.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP235\A0031268.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP235\A0032142.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP237\A0032150.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP237\A0032155.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP237\A0032157.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP237\A0032158.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE29F14-FF48-43BB-B648-8A62EB587BA1}\RP237\A0032165.exe (Rogue.XPantivirus) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dfbpklif.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32
atgnz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\pphcedrj0e76e.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32	suckmss.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

parfait , mais il reste du travaill!! ;-))



combofix



Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

bibifoot12 · Answer

avant je ne dois pas cocher les cases avec le résultat de hijackthis et faire le fix checked

Utilisateur anonyme · Answer

non on fixeras a la fin , ne te fait pas de soucis , je ne me permettrais pas de te faire effectuer n'importe quoi !!!

hijacthis ne supprime pas les programmes , il ote les clés de demarrages ;-))))


execute sans crainte l'etapes de combofix

bibifoot12 · Answer

d'accord merci beaucoup je fait ca de suite et je reviens après . A tout à l'heure.

Utilisateur anonyme · Answer

je t'attend ;-)))))

obsy · Answer

Hello, j'ai le mêmeproblème... Je vous avoue j'ai posté un message j'ai fais les mêmes choses... mais plus personne me répond... SNIFFF si el carosso veut bien aussi jeter un coup d'œil à mes rapports??...

obsy · Answer

oh merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiii



http://www.commentcamarche.net/forum/affich 8041911 infectee

bibifoot12 · Answer

ComboFix 08-08-21.02 - Ben 2008-08-23 18:55:19.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.590 [GMT 2:00] Endroit: D: éléchargé\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-23 to 2008-08-23 )))))))))))))))))))))))))))))))))))) . 2008-08-23 00:30 . 2008-08-23 00:30 d-------- C:\Documents and Settings\Ben\Application Data\Malwarebytes 2008-08-23 00:29 . 2008-08-23 00:35 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-23 00:29 . 2008-08-23 00:29 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-23 00:29 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-23 00:29 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 00:18 . 2008-08-23 00:18 d-------- C:\Program Files\Trend Micro 2008-08-22 19:18 . 2008-08-22 19:18 d-------- C:\VundoFix Backups 2008-08-01 18:53 . 2008-08-01 18:53 268 --ah----- C:\sqmdata05.sqm 2008-08-01 18:53 . 2008-08-01 18:53 244 --ah----- C:\sqmnoopt05.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-23 12:59 --------- d-----w C:\Program Files\adslTV 2008-08-22 10:28 --------- d-----w C:\Documents and Settings\Ben\Application Data\XnView 2008-08-21 17:51 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-21 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-17 23:23 --------- d-----w C:\Documents and Settings\Ben\Application Data\vlc 2008-07-14 17:26 --------- d-----w C:\Documents and Settings\Ben\Application Data\NewsLeecher 2008-07-14 17:14 --------- d-----w C:\Documents and Settings\Ben\Application Data\utorrent 2008-07-14 17:06 --------- d-----w C:\Program Files\NewsLeecher 2008-07-10 16:38 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-07-06 21:58 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-25 17:50 --------- d-----w C:\Program Files\Alwil Software 2008-05-25 15:01 661 ----a-w C:\Documents and Settings\Ben\Application Data\waver_2.95.dat . ------- Sigcheck ------- 2004-08-18 11:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers cpip.sys 2004-08-23 00:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-22_23.52.31.78 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-23 12:26:14 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_528.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^TrayMin300.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\TrayMin300.exe.lnk backup=C:\WINDOWS\pss\TrayMin300.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-05-16 09:27 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath] --a------ 2004-06-09 15:37 40960 C:\WINDOWS\VM_STI.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-03-02 15:24 257088 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] --------- 2008-08-18 18:41 1832272 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-03-14 03:43 83608 C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\utorrent\utorrent.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\adslTV\adsltv.exe"= "D:\KONAMI\pro evolution soccer 2008\PES2008.exe"= "D:\KONAMI\pro evolution soccer 2008\autorun_PES2008.exe"= "C:\Documents and Settings\Ben\Mes documents\Pro.Evolution.Soccer.2008.PROPER.CRACK.ONLY.TSAH\Pro.Evolution.Soccer.2008.PROPER.CRACK.ONLY.TSAH\PES2008.exe"= "D:\KONAMI\pro evolution soccer 2008\program files\KONAMI\Pro Evolution Soccer 2008\img\Pro Evolution Soccer 2008\All National Teams.exe"= "D:\KONAMI\pro evolution soccer 2008\program files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"= "D:\KONAMI\PES2008\PES2008.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "14350:TCP"= 14350:TCP:BitComet 14350 TCP "14350:UDP"= 14350:UDP:BitComet 14350 UDP "1700:TCP"= 1700:TCP:MioNet Remote Drive Access "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbbe6f65-5ec1-11dc-9303-00110929e9f6}] \Shell\AutoRun\command - H:\start.exe \Shell\IUFM\command - H:\start.exe *Newly Created Service* - CATCHME . . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Ben\Application Data\Mozilla\Firefox\Profiles\p02qlyqk.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ig?hl=fr . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-23 18:56:31 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-23 18:57:12 ComboFix-quarantined-files.txt 2008-08-23 16:57:02 ComboFix2.txt 2008-08-22 21:53:01 Pre-Run: 20,871,413,760 octets libres Post-Run: 20,865,896,448 octets libres 118

bibifoot12 · Answer

J'ai pas l'impression qu'il est redémarré l'ordi ...

Utilisateur anonyme · Answer

l'infection n'est pas flagrante , peu etre un vers faits ceci , c'est tres rapide 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! --------------------------------------------------------------------------------------------------------------------------- 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC.

bibifoot12 · Answer

je n'ai pas bien compri pour rav car il m'indique dès le lancement que  alors je l'ai laissé une demi heure rien a bougé il me dit tjrs que mon ordi est sain mais continu tout de même à analiser . Dois je le laisser faire ou pas ???

Utilisateur anonyme · Answer

s'il te dit que ton ordi est sain c'est bon passe a flash desinfector

bibifoot12 · Answer

aucun rapport généré par flash desinfector et j'ai redémarré le pc et pas de rapport non plus donc il n'a rien d'anormal à signaler je crois .

Utilisateur anonyme · Answer

il ne donne pas de rapport tu a eu une fenetre navec indique " done"


comment se porte le pc ?

bibifoot12 · Answer

non pas de rapport et oui pour la fenêtre avec done , le pc quant à lui se porte plutot bien . Quel est le diagnostic svp docteur ?

Utilisateur anonyme · Answer

poste un dernier rapport hijackthis pour controler ensuite reste juste une petite etapes mais importante , le nettoyage !§ ;-)

bibifoot12 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33, on 23/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lphcedrj0e76e] C:\WINDOWS\system32\lphcedrj0e76e.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe

Utilisateur anonyme · Answer

oh !!! il reste une saletée  ;-)


 fait ceci


*afin d'avoir toutes les instruction enregistre la procedure car en mode sans echecs tu n'auras pas de connections internet

*affiche les fichiers et dossiers cachés du systeme a l'aide de ce tutoriel

*télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

*ensuite redémarre en mode sans echecs a l'aide de ce tutoriel



double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of standard Files/Folders to be moved.

Citation :


C:\WINDOWS\system32\lphcedrj0e76e.exe 




clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
redemarre le pc normalement .
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
copie et colle le rapport ici
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

bibifoot12 · Answer

on dirait qu'il a pas trouvé d'après mes bases en anglais et il ne m'a pas proposé de redémarrer


File/Folder  not found.
File/Folder C:\WINDOWS\system32\lphcedrj0e76e.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08232008_210759

Utilisateur anonyme · Answer

bonjour bon on va faire  autrement malwaresbytes va se charger de le supprimer 

ouvre malwaresbytes et va dans l'onglet mises a jours , effectue une recherche de mise a jours .


ensuite dans l'onglet recherche effectue une analyse complete du pc supprime tout ce trouveras malwaresbytes en cliquant sur supprimer copie et colle le rapport de malwares bytes 


et poste au passage un rapport hijackthis

bibifoot12 · Answer

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1080
Windows 5.1.2600 Service Pack 2

11:42:46 24/08/2008
mbam-log-08-24-2008 (11-42-46).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 101570
Temps écoulé: 18 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcedrj0e76e (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Et pour Hijackthis : 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:	éléchargé\Alcohol 120\StarWind\StarWindService.exe

Utilisateur anonyme · Answer

parfait tu en ai venue a bout maintenant on va faire oublier a ton pc , qu'il as ete infecté ;-)))

 I )
*relance hijackthis 
*do a scan systeme only
*coche les cases qui se trouvent devant ces lignes 
*clique sur chequed

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -



II )

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):                                       (by chiquitine29)


http://download.piriform.com/ccsetup210.exe

https://www.01net.com/

-> Tuto : https://www.malekal.com/tutoriel-ccleaner/


et pour finir :


 III )

* pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
-->
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
http://pc-system.fr/

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).



et fais ceci :


 IV )

Désactive et réactive ta restauration system 

http://www.libellules.ch/desactiver_restauration.php

bibifoot12 · Answer

-->- Recherche: 

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ben\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ben\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ben\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ben\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Point de restauration crée !
Corbeille vidée!
Sauvegarde du registre crée!

Utilisateur anonyme · Answer

parfait comment va le pc ?

bibifoot12 · Answer

tout va bien merci j'ai bien désactiver et réactiver la réstauration système , en revanche est - ce normal que je n'ai pas utilisé CCcleaner mais seulement toolscleaner ?

Utilisateur anonyme · Answer

execute ccleaner c'est interressant comme outil , a garder et as utiliser souvent et sans moderations permet de supprimer des fichiers inutiles du systeme et reparer les erreurs de registre ;-)



-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo): (by chiquitine29)


http://download.piriform.com/ccsetup210.exe

https://www.01net.com/

-> Tuto : https://www.malekal.com/tutoriel-ccleaner/

bibifoot12 · Answer

et voilà c'est fait ! peut tu me dire si c'est terminé stp ??

Utilisateur anonyme · Answer

oui , c'est terminé ;-))

maintenant il ne reste qu'as effectuer toutes les mises a jours critiques et personnalisées que tu trouveras sur le site de windows updates afin de combler les failles de securitees qui ont permis a tes infections de se propager dans le systeme de ton pc !


tes securitées sont sommaires et assez depasses , tu ne possede pas de parefeu competant ( celui de windows n'est pas bon dutout ! ) et je ne vois d'antispyware d'instalé sur ton pc .


desire tu etre conseillée pour securiser ta machine ?

Virtumonde .ddl

35 réponses

Discussions similaires