Fix cvasds0 dll

ref43

16 Septembre 2009 21:32:05

Bonjour,
Connaissez vous un fix pour éradiquer les problèmes liés à la présence du fichier cvasds.dll dans le répertoire c:\Documents and settings\utilisateur\Local Settings\Temp.
Merci de vos réponses

Autres pages sur : fix cvasds0 dll

| Etre averti des réponses
| Alerter

Répondre à ref43

Destrio5

16 Septembre 2009 22:04:01

Bonjour,

Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur UsbFix pour l'exécuter.
(Sous Vista, il faut cliquer droit sur UsbFix et choisir Exécuter en tant qu'administrateur)

Choisis l'option 1 (Recherche).

Laisse travailler l'outil.

Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

| Alerter

Répondre à Destrio5

ref43

16 Septembre 2009 22:16:18

Bonjour et merci Destrio,

Ci-dessous le rapport UsbFix

############################## | UsbFix V6.034 |

User : Utilisateur (Administrateurs) # B-INFO
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 00:15:15 | 17/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Celeron(R) M CPU 430 @ 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 090916-0] 4.8.1351 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,51 Go (40,63 Go free) # NTFS
D:\ -> Disque fixe local # 7,38 Go (598,42 Mo free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 465,76 Go (465 Go free) [FreeAgent Drive] # NTFS
G:\ -> Disque fixe local # 37,26 Go (14,97 Go free) # NTFS
H:\ -> Disque amovible # 1,92 Go (364,78 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\cvasds1.dll
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\herss.exe
C:\autorun.inf -> fichier appelé : "C:\ph.exe" ( Présent ! )
C:\autorun.inf
C:\ph.exe
D:\autorun.inf -> fichier appelé : "D:\ph.exe" ( Présent ! )
D:\AUTORUN.FCB
D:\autorun.inf
D:\desktop.ini
D:\ph.exe
F:\autorun.inf -> fichier appelé : "F:\ph.exe" ( Présent ! )
F:\autorun.inf
F:\ph.exe
G:\autorun.inf -> fichier appelé : "G:\ph.exe" ( Absent ! )
G:\autorun.inf
H:\autorun.inf -> fichier appelé : "H:\ph.exe" ( Présent ! )
H:\autorun.inf
H:\ph.exe

################## | Registre # Clés Run infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
[HKU\S-1-5-21-1659004503-706699826-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
Shell\AutoRun\command =G:\ph.exe
Shell\open\Command =G:\ph.exe

HKCU\..\..\Explorer\MountPoints2\{8a5482dc-a2d7-11de-a680-0014a5ed4bb8}
Shell\AutoRun\command =H:\ph.exe
Shell\open\Command =H:\ph.exe

HKCU\..\..\Explorer\MountPoints2\{ac5309ca-94b2-11de-a647-0014a5ed4bb8}
Shell\AutoRun\command =ph.exe
Shell\open\Command =ph.exe

HKCU\..\..\Explorer\MountPoints2\{bdd0a0e9-ff30-11dd-91f6-ed645f38dd50}
Shell\AutoRun\command =F:\hbcd\wintools\autorun.exe
Shell\Option1\Command =F:\hbcd\wintools\autorun.exe

HKCU\..\..\Explorer\MountPoints2\{c951f05e-8e90-11de-a632-0014a5ed4bb8}
Shell\AutoRun\command =F:\ph.exe
Shell\open\Command =F:\ph.exe

HKCU\..\..\Explorer\MountPoints2\{cfdc4b20-ff33-11dd-b7f1-806d6172696f}
Shell\AutoRun\command =D:\ph.exe
Shell\open\Command =D:\ph.exe

HKCU\..\..\Explorer\MountPoints2\{cfdc4b22-ff33-11dd-b7f1-806d6172696f}
Shell\AutoRun\command =C:\ph.exe
Shell\open\Command =C:\ph.exe

################## | ! Fin du rapport # UsbFix V6.034 ! |

| Alerter

Répondre à ref43

ref43

16 Septembre 2009 22:33:19

Merci Destrio,

J'ai ensuite relancer UsbFix en effectuant le choix 2 : "nettoyer".
Après redémarrage tout semble revenu à la normale.

| Alerter

Répondre à ref43

Destrio5

16 Septembre 2009 23:10:49

Ok.

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

| Alerter

Répondre à Destrio5

ref43

17 Septembre 2009 12:13:13

Bonjour Destrio,
J'ai appliqué la procédure indiquée.
Ci-dessous le rapport malwarebytes.
Merci pour toutes ces indications précieuses. :bounce:

Cordialemet.

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2814
Windows 5.1.2600 Service Pack 3

17/09/2009 14:05:47
mbam-log-2009-09-17 (14-05-47).txt

Type de recherche: Examen rapide
Eléments examinés: 93119
Temps écoulé: 34 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

| Alerter

Répondre à ref43

Destrio5

17 Septembre 2009 12:14:33

Relance MBAM, va dans Quarantaine et supprime tout.

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

| Alerter

Répondre à Destrio5

Atomos77

3 Décembre 2009 10:39:41

Salut j'ai eu le même problème que énoncé précédemment je voudrais juste savoir a quoi nous servent les deux page qui s'affiche après l'analyse

| Alerter

Répondre à Atomos77

Panda18

10 Décembre 2009 22:53:00

Bonjour,
J'avais moi aussi ce virus et après avoir suivie la procédure énoncée, j'ai réussi à m'en débarrasser. Je remercie donc Destrio5, tout fonctionne nickel à présent

| Alerter

Répondre à Panda18

Tom's guide dans le monde