Tom's Guide > Forum > Sécurité - Virus > w32.virut-A, impossible à le supprimer

w32.virut-A, impossible à le supprimer

Forum Sécurité - Virus : w32.virut-A, impossible à le supprimer

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
raphafoui   26-09-2006 à 14:57:26

Hello, :cry:

ça fait quelques temps que j'ai ce virus ( Win32.Virut-A ) et je n'arrive pas à m'en débarasser, meme apres avoir formater plusieurs fois Windows... j'ai vu sur le forum qu'il y avait d'autre cas similaires, mais j'aurai voulu avoir une aide personalisé... Thank's!

voilà le rapport de Hijack:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\nwnmff_e14.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\winlogon.exe
C:\dfndrff_e14.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\kybrdff_e14.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Documents and Settings\Raphy\Bureau\HijackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: (no name) - {293B6284-6542-4DF2-8185-17BAE0FDE552} - C:\WINDOWS\System32\sstqp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDOWS\system32\fccyaba.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccyaba - C:\WINDOWS\SYSTEM32\fccyaba.dll
O20 - Winlogon Notify: ssqqppo - C:\WINDOWS\SYSTEM32\ssqqppo.dll
O20 - Winlogon Notify: sstqp - C:\WINDOWS\System32\sstqp.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Microsoft Windows Spoolsv Service - Unknown owner - C:\WINDOWS\spoolsv.exe
O23 - Service: MSCommmand - Unknown owner - C:\WINDOWS\System32\dllcache\mswincom32.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - C:\WINDOWS\System32\net32b.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
esteban54   26-09-2006 à 15:23:45
- 0 +

Bonjour,

Le rapport HijackThis n'est pas complet. Il manque le début.

Plusieurs infections.

Télécharge VundoFix.exe et mets le sur le bureau.
Note ou imprime les instructions qui suivent avant de commencer :

> Lance VundoFix.exe
> Clique sur le bouton Scan for Vundo
> Une fois le scan terminé, clique sur le bouton Remove Vundo
> Un message demandera confirmation, clique sur YES
> Le bureau va disparaître. C'est normal.
> Ensuite un message va indiquer que le PC va se fermer. Clique sur OK.
> Redémarre le PC.

> Enfin poste le contenu du rapport situé ici C:\vundofix.txt ainsi qu'un nouveau rapport HJT complet.

------------------------------ Merci d'ajouter [résolu] au titre de votre 1er post si votre problème est réglé
 Répondre à esteban54
Angeldark   26-09-2006 à 18:11:13
- 0 +

:hello:

Ensuite :

  • Télécharge combofix.exe (par sUBs) sur ton Bureau
  • Double clique combofix.exe et suis les invites.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Répondre à Angeldark
raphafoui   26-09-2006 à 18:21:58
- 0 +

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 14:46:14, on 26.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\nwnmff_e14.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\winlogon.exe
C:\dfndrff_e14.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\kybrdff_e14.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Documents and Settings\Raphy\Bureau\HijackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: (no name) - {293B6284-6542-4DF2-8185-17BAE0FDE552} - C:\WINDOWS\System32\sstqp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDOWS\system32\fccyaba.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccyaba - C:\WINDOWS\SYSTEM32\fccyaba.dll
O20 - Winlogon Notify: ssqqppo - C:\WINDOWS\SYSTEM32\ssqqppo.dll
O20 - Winlogon Notify: sstqp - C:\WINDOWS\System32\sstqp.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Microsoft Windows Spoolsv Service - Unknown owner - C:\WINDOWS\spoolsv.exe
O23 - Service: MSCommmand - Unknown owner - C:\WINDOWS\System32\dllcache\mswincom32.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - C:\WINDOWS\System32\net32b.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

Vundofixe:

VundoFix V6.1.6

Checking Java version...

Sun Java not detected
Scan started at 17:53:41 26.09.2006

Listing files found while scanning....

C:\WINDOWS\system32\iifebba.dll

VundoFix V6.1.6

Checking Java version...

Sun Java not detected
Scan started at 18:01:50 26.09.2006

Listing files found while scanning....

C:\WINDOWS\system32\iifebba.dll
C:\WINDOWS\system32\urqommj.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\iifebba.dll
C:\WINDOWS\system32\iifebba.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\urqommj.dll
C:\WINDOWS\system32\urqommj.dll Has been deleted!

Performing Repairs to the registry.
Done!


Répondre à raphafoui
Angeldark   26-09-2006 à 18:26:00
- 0 +

Maintenant fais ce que j'ai dit.

Répondre à Angeldark
raphafoui   26-09-2006 à 18:29:36
- 0 +

Voilà pour combofix:

"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"Spooler SubSystem App"="C:\\WINDOWS\\System32\\spoolsvc.exe"
"NAV CfgWiz"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CfgWiz.exe /GUID NAV /CMDLINE \"REBOOT\""
"Microsoft (R) Windows Update Manager"="C:\\WINDOWS\\update\\updmgr.exe"
"C-Media Mixer"="Mixer.exe /startup"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"Application Layer Gateway Service"="C:\\WINDOWS\\System32\\algs.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{7D00738B-6974-4794-98D4-DE79A07ECD81}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyaba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqqppo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 26.09.2006 18:26:55.21
ComboFix.txt

Répondre à raphafoui
Angeldark   26-09-2006 à 19:03:54
- 0 +

Rapport Hijackthis maintenant.

Répondre à Angeldark
esteban54   26-09-2006 à 19:12:38
- 0 +

Voilà pourquoi je voulais le début du rapport :

Citation :

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Windows XP pas à jour du tout
--> système super vulnérable

installe d'urgence un pare-feu, par exemple ZoneAlarm version gratuite (en français et facile)

------------------------------ Merci d'ajouter [résolu] au titre de votre 1er post si votre problème est réglé
 Répondre à esteban54
raphafoui   26-09-2006 à 21:53:39
- 0 +

voilà le dernier rapport de Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:51:45, on 26.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\algs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\raphy\Bureau\HijackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Répondre à raphafoui
esteban54   26-09-2006 à 23:46:56
- 0 +

Re,

1/ Télécharge et installe CCleaner

2/ Télécharge et installe ewido
Mets-le à jour (Bouton Update en haut puis bouton Start Update)

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe

O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

5/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

6/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINDOWS\System32\algs.exe
C:\WINDOWS\update\ --> le dossier
C:\WINDOWS\System32\winmsfws.exe

7/ Supprime le service infectieux comme ceci :

Démarrer/Exécuter/ tape sc delete UpdateManager puis Entrée

8/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

9/ Lance ewido :
Bouton Scanner
Puis onglet Settings
Dans la section How to Act, clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens à l'onglet Scan. Clique sur "Complete System Scan"
A la fin du scan, choisis l'option "Apply All Actions" en bas.
Clique sur "Save Report", puis "Save Report As" afin de sauvegarder le rapport sur le bureau.

10/ Redémarre normalement, poste le rapport d'ewido ainsi qu'un nouveau rapport HijackThis.

--------------------

Faudra penser à installer un antivirus et à mettre à jour Windows.

------------------------------ Merci d'ajouter [résolu] au titre de votre 1er post si votre problème est réglé
 Répondre à esteban54
raphafoui   27-09-2006 à 14:39:27
- 0 +

voilà, j'ai fais tout ce que tu m'as dis:

le rapport de Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 14:31:41, on 27.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\raphy\Bureau\HijackThis(2).exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


et le rapport d'ewido:

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 14:27:34 27.09.2006

+ Scan result:



C:\WINDOWS\system32\eyiuodt.exe -> Backdoor.Rbot.aem : Cleaned with backup (quarantined).
:mozilla.63:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
:mozilla.64:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
:mozilla.65:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
:mozilla.19:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.20:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.21:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.22:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.23:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.24:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.25:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.26:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.27:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.28:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.29:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.30:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.31:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.32:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
:mozilla.125:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
:mozilla.126:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
:mozilla.127:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
:mozilla.46:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).
:mozilla.47:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).
:mozilla.60:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).
:mozilla.18:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).
:mozilla.130:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).
:mozilla.117:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.118:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.119:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.120:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.121:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.122:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
:mozilla.10:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
:mozilla.8:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
:mozilla.9:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
:mozilla.124:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).
:mozilla.58:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).
:mozilla.59:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).
:mozilla.101:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).
C:\mv.exe -> Trojan.Dialer.u : Cleaned with backup (quarantined).


::Report end

Répondre à raphafoui
Angeldark   27-09-2006 à 14:46:39
- 0 +

Tu n'as pas d'antivirus !
Installe en un comme AntiVir fais un scan complet puis poste le rapport.

Répondre à Angeldark
raphafoui   27-09-2006 à 17:26:25
- 0 +

voilà, j'ai réinstallé Norton, après un Scan, Norton me dis qu'il reste encore W32.virut.A à 5 endroits... et qu'il est impossible de le mettre en quarantaine et de le supprimer

Répondre à raphafoui
Angeldark   27-09-2006 à 17:27:51
- 0 +

Indique leur emplacement stp.

Répondre à Angeldark
raphafoui   27-09-2006 à 17:42:07
- 0 +

http://img218.imageshack.us/img218/6149/rapportdj6.th.png

(désolé, c'est le seul moyen que j'ai trouvé...)

Répondre à raphafoui
Angeldark   27-09-2006 à 17:49:47
- 0 +

Ca devient inquietant.
Des fichiers systeme apparement.

Étape 1 :

Télécharge eScan Antivirus Toolkit. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2 :

Voici comment mettre l'outil à jour :

[color=CC0000]1.[/color] Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit" ).

[color=CC0000]2.[/color] Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

[color=CC0000]3.[/color] Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3 :

Redémarre en mode Sans Echec

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

[color=CC0000]1.[/color] Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

[color=CC0000]2.[/color] Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

[color=CC0000]3.[/color] Il est très important de bien cocher ces boîtes sous Scan Option : [color=000099]Memory, Registry, Startup Folders, System Folders, Services[/color].

[color=CC0000]4.[/color] Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

[color=CC0000]5.[/color] Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

[color=CC0000]6.[/color] Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

[color=CC0000]7.[/color] Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes" ), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Répondre à Angeldark
raphafoui   27-09-2006 à 18:13:53
- 0 +

y a un petit problème... quand je suis en mode Sans Echec, et veux ouvrir mwavscan, ça me dit que le fichier est infecté par un virus... et pas possible de l'ouvrir...

Répondre à raphafoui
Angeldark   27-09-2006 à 18:27:38
- 0 +

Je crois qu'il va falloir envisager de formater.
Ton virus s'attaque aux fichiers systemes, programmes...

Attends la confirmation d'autres helpers.

Répondre à Angeldark
raphafoui   27-09-2006 à 18:31:25
- 0 +

mais j'ai déjà formater... 6fois, en moins d'une semaine... le virus, ne disparait pas...

Répondre à raphafoui
esteban54   27-09-2006 à 20:53:29
- 0 +

Bonsoir,

j'ai bien peur moi aussi qu'il faille formater.

mais de cette façon (sinon tu vas à nouveau être infecté) :

1/ formate ton disque et installe Windows XP et les drivers mais rien d'autre (surtout n'utilise pas de crack...)
2/ ensuite avant toute connexion à Internet, installe un pare-feu et un antivirus, que tu auras préalablement télécharger et mis sur une clef USB ou sur CD
3/ mets à jour l'antivirus et windows XP (SP2 requis)

------------------------------ Merci d'ajouter [résolu] au titre de votre 1er post si votre problème est réglé
 Répondre à esteban54
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > w32.virut-A, impossible à le supprimer
Aller à :

Il y a 476 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,479 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens