2 virus sur mon PC

Question

Bonjour,
hier soir Avast m'a détecté 2 virus que j'ai immédiatement mis en quarantaine.
Voici leurs noms : Win32:Rootkit-gen [Rkt] et Win32:Beagle-AAW [Trj].
Pourriez-vous m'indiquer la marche à suivre pour m'en débarrasser définitivement?
Et également, pour mon information personnelle, comment j'ai pu attraper ce genre de virus et la solution à l'avenir pour les éviter?
Merci d'avance pour votre aide, bonne journée.

progggg · Answer

Dans le deuxième virus il y a le nom d'un anti-spyware. L'as-tu installé (aaw, ad-aware) ?

Utilisateur anonyme · Answer

Salut,
dans le deuxième nom il y a surtout beagle....

Relance le moins possible ton PC (chaque reboot => favorise l'infection)

Bon, ton infection est très souvent due à des cracks. Il faut que tu supprimes les programmes crackés que tu as car sinon on va tourner en rond....

Je m'explique : à chaque fois que tu lances le programme cracké en question l'infection revient. Alors si ce programme se lance automatiquement au démarrage windows, à chaque fois que tu relances ton PC la crasse réapparait.


> Télécharge sur ton bureau ELIBAGLA en bas de la page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton Descargar Elibagla tout en bas de la page => téléchargement)
- Lance le programme, si possible en mode sans échec.
- Assure toi que Unidad affiche C:\ et que la case Eliminar Ficheros Automaticamente est bien cochée.
- Lance le scan.
- Poste le contenu du fichier infoSat.txt qui se trouve dans C:\ 




Ensuite,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 
- Lance le programme, puis sélectionne <Do a system scan and save a logfile> 
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,


A+

Tuto si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

zik57 · Answer

Quand je clique sur le bouton Descargar Elibagla en bas de la page, une fenêtre s'ouvre avec marqué "the page cannot be found"

Utilisateur anonyme · Answer

Chez moi ça marche.....

Sinon télécharge-le d'ici : http://dl.free.fr/getfile.pl?file=/TBp7ggxy

A+

zik57 · Answer

Merci pour ton aide tout d'abord.
Depuis mon 1er message, j'ai eu plusieurs problèmes encore. 4 nouveaux virus sont apparus : 3 Win32:Rooktit et un beagle-AGM. Etant donné que je ne telecharge jamais de crack, j'étais surpris. J'ai demandé à mon petit frère et il s'avérait que lui en avait pris. Je lui ai demandé qu'il les efface tous de sa session. J'ai également maintenant un problème avec mon pare-feu Kerio, une fenetre d'erreur apparait à l'ouverture de ma session en me disant : Kfe initialization failed : Driver not found et il refuse de s'ouvrir. Mon anti-virus m'indique aussi avoir bloqué DCOM exploit bloqué et il est impossible de redémarrer en mode sans échec, une fenêtre bleue apparait à chaque fois.
J'ai donc du lancer le porgramme ELIBAGLA en mode normal, voici le log : 


	  Wed Sep 10 14:38:54 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Wed Sep 10 14:39:17 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3443
Nº Total de Ficheros:      29967
Nº de Ficheros Analizados: 10393
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Wed Sep 10 14:42:54 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Utilisateur anonyme · Answer

ok ok,
peux tu poster un rapport HiJackT stp ?
Histoire de savoir d'où viennent les problèmes.

Merci.

zik57 · Answer

Ok, le voici : 




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:05:05, on 10/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-448539723-308236825-839522115-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Pierre-Louis')
O4 - HKUS\S-1-5-21-448539723-308236825-839522115-1005\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe (User 'Pierre-Louis')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Ok,
tu as pourtant une infection Beagle.

Alors,
fais ceci stp :


Telecharge FindyKill (merci Chiquitine) :

Fais un clic droit sur le lien et choisi enregistrer la cible sous .... le bureau

----> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

--> Dezippe le (extraire) sur ton bureau

--> Entre dans le dossier FindyKill

Double clic sur findyKill.bat

choisi l option 1 (Recherche)

Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 


A+

zik57 · Answer

Voici le rapport : 



 
--------- FindyKill V3.075 par Chiquitine29 ---------    
 

[ Recherche effectuée à 15:19:14 | 10/09/2008 ]
[ INSTALL LOCATION : C:\Documents and Settings\Yoann\Bureau\FindyKill\FindyKill\FindyKill.bat ]
[ USER : Yoann | PC : MICHEL-09BD24BB ]
[ BOOT MODE : Normal  ][ Outils Mis a jours le 08/09/08 par Chiquitine29 ]
 
 
----------------- *** Recherche *** ------------------ 
 
 
»»»» Presence des fichiers dans C: 
 
C:\InfoSat.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
"C:\WINDOWS\system32\drivers\downld" Present!! 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Yoann\Application Data 
 


»»»» Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
»»»» Presence d infections dans Support amovible 
 
 
 
----------- ! Recherche realisée avec success ! -----------

Utilisateur anonyme · Answer

Ok parfait,

Réouvre FindyKill , choisi cette fois ci l option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage terminé"

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 



Puis reposte un rapport HiJackT pour finir stp.

zik57 · Answer

Merci, voici le rapport de FindyKill : 

 
--------- FindyKill V3.O75 par Chiquitine29 ---------    
 

[ Suppression effectuée à 15:39:01 | 10/09/2008 ]
[ INSTALL LOCATION : C:\Documents and Settings\Yoann\Bureau\FindyKill\FindyKill\FindyKill.bat ]
[ USER : Yoann | PC : MICHEL-09BD24BB ]
[ BOOT MODE : Normal  ][ Outils Mis a jours le 08/09/08 par Chiquitine29 ]
 
 
----------- /!\..... Suppression ...../!\ ----------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7662953.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7663640.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7680093.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7685421.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7687343.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7719796.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7729187.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\7738921.exe" 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\Yoann\Application Data 
 
 
 
 
---------- /!\..... Second passage ...../!\ ---------- 
 
 
 
 
»»»» Suppression des fichiers dans C: 
 
Supprime ! de C:\InfoSat.txt 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
Supprime ! de C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprime ! de "C:\WINDOWS\system32\drivers\downld" 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\Yoann\Application Data 
 
 
 
------------ /!\..... Verification...../!\ ------------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Yoann\Application Data 
 
 
 
»»»» Suppression des clefs du registre.. 
 
 
"HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime ! 
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime ! 
 
 
»»»» Suppression des clefs du registre effectuée ! 
 
 
»»»» Affichage des fichiers cachés réparé ! 
 
 
»»»» Services de securité Windows redemarré ! 
 
 
»»»» Suppression des fichiers temporaires : 
 
 
Supprimé ! - "C:\WINDOWS\TEMP\8bf5_appcompat.txt" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_554.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_668.dat" 
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_66c.dat" 
 
 	
 
»»»» Suppression des fichiers dans Support amovible 
 
 
 
---------- ! Nettoyage realisé avec succès ! ---------- 
 
 
»»»» Recherche d autres infections : 
 
 
Et maintenant Hijackthis : 




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:06, on 10/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Ok,
parfait.
Juste un truc... 
Ton rapport ici : http://www.commentcamarche.net/forum/affich 8353835 2 virus sur mon pc#5
n'est pas complet : il manque la fin.

Peux-tu le reposter stp ? Il se trouve ici : C:\infoSat.txt


Merci.

zik57 · Answer

Je ne trouve plus le rapport, je l'ai peut-être effacé.
Veux-tu que je recommence un scan avec ELIBAGLA ?

Utilisateur anonyme · Answer

ok,
Pas grave pour Elibagla....

Pour le pare feu on voit en fin de désinfection. Pour l'instant tu peux le désactiver s'il t'ennuie....

Tu peux aussi supprimer les virus de ta quarantaine Avast.


Ensuite,
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver...

> Télécharge MalwareByte's Anti-Malware : 
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici 
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") puis ferme le programme.
NB : Si tu as besoin : Tuto

> Télécharge et installe Ccleaner : 
- Puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.

> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec sans passer par MSconfig : (image). Si problème : tuto ici

> Lance MalwareByte's Anti-Malware,
- Clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).



Puis on termine.

+

zik57 · Answer

Voilà, j'ai fait ce que tu m'as demandé.
MalwareByte's n'a trouvé aucun nuisible. Voici le rapport : 

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1136
Windows 5.1.2600 Service Pack 2

10/09/2008 16:41:28
mbam-log-2008-09-10 (16-41-28).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 73333
Temps écoulé: 8 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai également nettoyé à l'aide de CCleaner. Mon PC est-il clean maintenant? Toutes les infections ont-elles disparues?
As-tu une idée maintenant pour mon problème avec le pare-feu.

Merci beaucoup de ton aide précieuse.

Utilisateur anonyme · Answer

Ok, parfait. Pour être sûr qu'il ne reste rien : > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr N.B. : Le scan ne marche que sous Internet Explorer. - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré stp. (clique sur puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension). S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers"). As-tu essayé de désinstaller puis de réinstaller Kério ? A+

zik57 · Answer

Kaspersky m'a trouvé un fichier infecté mais je ne sais pas comment le nettoyer.
Quand je vais sur nettoyer maintenant, il me propose d'acheter une version de Kaspersky.

zik57 · Answer

Je n'arrive pas à poster le log, apparamment, il prend trop de places, mon message ne s'envoie pas.

zik57 · Answer

Comment je fais pour te l'envoyer en pièce jointe, je l'ai enregistré au format html.

zik57 · Answer

Voilà, c'est fait.
Voici le lien : http://www.cijoint.fr/cjlink.php?file=cj200809/cijZJtuNM7.txt

Utilisateur anonyme · Answer

Ok,
on va finir puis on voit pour ton pare feu.
Et comment va le PC ?

Si tout va bien alors on termine (sinon dis moi et laisse ce poste en suspend) :
> Mets à jour Acrobat si ce n'est pas le cas (désinstalle avant la version antérieure) : https://get2.adobe.com/reader/otherversions/

> Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives)
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)).
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).

> Télécharge et installe Easy Cleaner stp : https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
(lien miroir : https://www.clubic.com/telecharger-fiche11170-easycleaner.html )
- Lance le programme puis clique sur <Registre> puis sur <Trouver>.
- A la fin du scan clique sur <Supprime tout> puis confirme par <Oui> puis quitte le programme.
Si besoin tuto ici : https://www.pcparadise.fr
et http://www.6ma.fr/tuto/easycleaner-nettoyer-windows-des-elements-obsoletes/

> Tu peux aussi vider ta corbeille.

> Désactive et réactive la restauration de système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
PS : Si tu est sous Vista c'est ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/c066b2e9a50cc948802572870032b170?OpenDocument

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Quelques conseils et recommandations pour l'avenir :

> Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures").
- Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
- Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))

> Pour bien protéger ton PC :
[1 seul Antivirus] + [1 seul Pare feu] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI]
PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
Les virus utilisent les failles de ton PC pour infecter un système. Info : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

> Quelques liens utiles :
- http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
- https://sebsauvage.net/safehex.html
- https://www.zebulon.fr/telechargements/securite/protection-donnees-personnelles/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan)

Voila,
Bonne lecture....

Et pour Kério ? Quel est le souci ?

A+

zik57 · Answer

Encore merci.
J'ai fait ce que tu m'as dit. Par contre, pour la restauration système, est-ce que je dois redémarrer l'ordinateur.
Pour mon pare-feu, j'ai toujours la même fenêtre d'erreur et j'ai souvent des attaques "DCOM exploit bloque" qu'Avast bloque.

zik57 · Answer

Je voulais essayer de désinstaller/réinstaller Kerio mais étrangement il n'apparait pas dans la liste Ajout/Suppression de programmes ni dans le mode Programmes de désinstallation de CCleaner.

Utilisateur anonyme · Answer

Salut,
les attaques que stoppent Avast sont très fréquentes. Il fait sont boulot.
Mais as-tu un message de Avast complet ? Avec IP pour voir d'où vient l'attaque.

Tu dois avoir un (ou plusieur) port ouvert dans Kério...

A+

zik57 · Answer

J'ai un problème avec Kerio.
J'ai effacé le dossier en mode sans échec comme je ne pouvais pas le désinstaller.
Mais, maintenant il est toujours présent dans la session Administrateur en mode sans échec et je ne peux pas le désinstaller et le dossier n'est plus présent dans Programes Files.
Si j'installe de nouveau Kerio en mode normal, cela fait un conflit et l'ordi plante.
Sais-tu comment faire pour désinstaller la version de Kerio qu'il reste dans la session Administrateur du mode sans échec?

2 virus sur mon PC

25 réponses

Votre réponse

Newsletters