Win32:SkiMorph [Cryp] Fermé

Question

Bonjour,

Je viens de trouvé le virus Win32:SkiMorph [Cryp] à l'aide d'avast antivirus home edition. Pouvez vous m'aider ?
Après la lecture de quelques post, je vous met mon scan hijackthis histoire de raccourcir la procédure :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:00, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Curse\CurseClient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: D-Link Dial-Up PPP Connection.lnk = ?
O4 - Startup: Launch NoNameScript.lnk = C:\Program Files\mIRC\mirc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3151D72-10FC-4D52-96E2-439E4613AA5B}: NameServer = 212.147.10.162 212.147.10.180
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

kduc · Answer

Salut Ownda,

Désinstalle Avast ...
https://www.avast.com/fr-fr/uninstall-utility

... au profit d' Antivir > https://www.malekal.com/avira-free-security-antivirus-gratuit/

Une fois installé, lance un scan et poste le rapport.

Ownda · Answer

C'est une obligation à la bonne marche de la désinfection ? Car j'apprécie bien avast et j'ai eu quelques regrètables souvenirs avec Antivir.

kduc · Answer

...

Non, ce n' est pas une obligation !

Fais un scan en ligne avec BitDefender ...
https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 ... pour voir.

Poste (copie-colle) le rapport dans ton prochain message.

PS : si le lien pour le scan ne marche pas, utilise l' un de ceux-là :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

ou > http://lesservices.fnac.com/scan8/ie.html

PS 2 : désactive le bouclier standard d' Avast le temps du scan !

Ownda · Answer

Mon PC met énormément de temps à télécharger la Signature de Virus, il s'arrête au bout d'un moment, et Ie me dis qu'il peut pas télécharger a signature.

j'ai recommencé le processus, il télécharge plus, c'est à dire, j'ai eu un arrête à 7% puis le message, un arrêt à 27% puis rebelote, ainsi qu'à 30%.

Je peux quand même lancer l'analyse, mais avec un résultat '' imprécis''

PS : j'ai mis sur pause le bouclier standard. 

Edit : Toujours l'arrêt avec le message à 42% (cette fois ci) de la mise à jour de signature de virus.
Edit : Cette fois ci arrête à 35% avec toujours ce fameux message. ( ça présage rien de bon ).
Edit : 79% !

kduc · Answer

...

Laisse tomber et recommence demain ...

Ou peut-être faire un scan en ligne avec Kaspersky :

(Sous IE) http://www.n9ws.com/webscanner/kavwebscan.html … 
 
En bas de page, clique sur > Accept.
Laisse faire les définitions, mises à jour et installation d' ActiveX.
Puis, clique sur Next (suivant) > My Computer (Poste de travail). 
Le scan commence. Patiente ...
Une fois le scan achevé, clique sur > Save report (enregistrer rapport sous …) 
et enregistre-le quelque part (ex. bureau ou « mes documents »).

Poste-le dans ta prochaine réponse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", 
va dans Ajout/Suppres… de progr., puis désinstalle On-Line Scanner. 
Ensuite, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

Si celà ne fonctionne pas avec le lien, vois ici : https://www.kaspersky.fr/downloads

Ownda · Answer

Statistiques
Temps 00:13:00
Fichiers 85555
Directoires 5649
Secteurs de boot 0
Archives 1465
Paquets programmes 7698

Résultats
Virus identifiés 1
Fichiers infectés 2
Fichiers suspects 0
Avertissements 0
Désinfectés 0
Fichiers effacés 2

Info sur les moteurs
Définition virus 1887192
Version des moteurs AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins 16
Archive des plugins 43
Unpack des plugins 7
E-mail plugins 6
Système plugins 4

Fichier analysé
C:\Program Files\AdVantage\TR.dl >> Détecté avec: Application.Memedia.B
C:\Program Files\AdVantage\TR.dll >> Echec de la désinfection
C:\Program Files\AdVantage\TR.dll >>Supprimé

C:\System Volume Information\_restore{EAC747AE-FCF3-4EDA-90EB-006F54B0EA48}\RP133\A0067075.dll >> Détecté avec: Application.Memedia.B
C:\System Volume Information\_restore{EAC747AE-FCF3-4EDA-90EB-006F54B0EA48}\RP133\A0067075.dl >>l Echec de la désinfection
C:\System Volume Information\_restore{EAC747AE-FCF3-4EDA-90EB-006F54B0EA48}\RP133\A0067075.dll >> Supprimé

Ownda · Answer

Quelqun pourrait continuer à m'aider dans ma démarche ?

kduc · Answer

Salut

Relance un scan Avast pour voir !

Win32:SkiMorph [Cryp]

8 réponses

Discussions similaires