Votre question

[Résolu] Virus Form1 - comment le détecter et le supprimer ?

Tags :
  • Windows Vista
  • Sécurité
Dernière réponse : dans Sécurité et virus
Anonyme
15 Avril 2011 13:53:44

Bonjour,

Voilà mon problème, j'ai un virus nommé Form1 qui apparait lorsque le PC démarre (je suis sous Windows Vista)
J'aimerais savoir comment est-il possible de le détecter puisque mon antivirus (Avast!) ne le trouve pas, et surtout j'aimerais savoir comment est-il possible de le supprimer.

Merci d'avance.

Autres pages sur : resolu virus form1 detecter supprimer

15 Avril 2011 14:18:01

Bonjour

Bienvenue sur le forum:

Fais ce qui suit:

Télécharge OTL sur ton Bureau.

  • Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
  • Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
  • L'écran principal de OTL s'affiche:



    (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    (4) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


    netsvcs
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop



    (5) Puis cliquer sur le bouton Analyse

    - Laisser l'outil travailler sans l'interrompre.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise le site http://pjjoint.malekal.com/ pour envoyer tes rapports, et poste le lien dans ta prochaine réponse.
    Contenus similaires
    15 Avril 2011 19:05:41

    Relance OTL.exe.

    Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    Sélectionne très précisément tout ce qui est dans le cadre ci dessous , avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

    RAS
    :Files
    C:\Program Files\Common Files\alq.exe
    C:\ProgramData\Trymedia
    C:\Users\utilisateur\AppData\Roaming\FissaSearch
    @Alternate Data Stream - 99 bytes -> C:\ProgramData\Temp:59846E5E
    @Alternate Data Stream - 16 bytes -> C:\Users\utilisateur\Downloads:Shareaza.GUID
    @Alternate Data Stream - 16 bytes -> C:\Users\utilisateur\Desktop\Musiques:Shareaza.GUID
    @Alternate Data Stream - 16 bytes -> C:\Users\utilisateur\Desktop:Shareaza.GUID
    @Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:97995ED4
    @Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:3CF23EC3
    @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:B26E984E
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:B19CC382
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:609CAC7C
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:BE6DC701
    @Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:3B3A35EC
    ipconfig /flushdns /c

    :OTL
    PRC - [2009/07/30 01:07:16 | 000,031,232 | ---- | M] () -- C:\Program Files\Common Files\alq.exe
    IE - HKU\S-1-5-21-1478217905-3122460300-2794431313-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKU\S-1-5-21-1478217905-3122460300-2794431313-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
    O3 - HKU\S-1-5-21-1478217905-3122460300-2794431313-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
    O3 - HKU\S-1-5-21-1478217905-3122460300-2794431313-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [Application Layer Gateway] C:\Program Files\Common Files\alq.exe ()
    O4 - HKLM..\Run: [avast5] File not found
    O4 - HKU\S-1-5-21-1478217905-3122460300-2794431313-1000..\Run: [EA Core] File not found
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
    O33 - MountPoints2\{03055203-caed-11df-8225-001f16bb07c1}\Shell\AutoRun\command - %µ£%µ£ = E:\InstallTomTomHOME.exe
    O33 - MountPoints2\{048365db-63ef-11e0-8dae-001f16bb07c1}\Shell - %µ£%µ£ = AutoRun
    O33 - MountPoints2\{048365db-63ef-11e0-8dae-001f16bb07c1}\Shell\AutoRun\command - %µ£%µ£ = %µ£H:\WD IDN.exe%µ£ autoplay=true
    O33 - MountPoints2\{094ead4e-0766-11e0-83e7-001f16bb07c1}\Shell - %µ£%µ£ = AutoRun
    O33 - MountPoints2\{094ead4e-0766-11e0-83e7-001f16bb07c1}\Shell\AutoRun\command - %µ£%µ£ = E:\Autorun.exe
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

    :Commands
    [emptytemp]
    [EMPTYFLASH]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler sans te servir du PC!!!!!
  • Copie et colle le rapport dans ta réponse stp
    Anonyme
    15 Avril 2011 21:41:35

    Voilà le rapport:


    All processes killed
    Error: Unable to interpret <RAS > in the current context!
    ========== FILES ==========
    C:\Program Files\Common Files\alq.exe moved successfully.
    C:\ProgramData\Trymedia\licenses folder moved successfully.
    C:\ProgramData\Trymedia\data folder moved successfully.
    C:\ProgramData\Trymedia folder moved successfully.
    C:\Users\utilisateur\AppData\Roaming\FissaSearch\@FissaPlugin\content folder moved successfully.
    C:\Users\utilisateur\AppData\Roaming\FissaSearch\@FissaPlugin folder moved successfully.
    C:\Users\utilisateur\AppData\Roaming\FissaSearch folder moved successfully.
    ADS C:\ProgramData\Temp:59846E5E deleted successfully.
    Unable to delete ADS C:\Users\utilisateur\Downloads:Shareaza.GUID .
    ADS C:\Users\utilisateur\Desktop\Musiques:Shareaza.GUID deleted successfully.
    Unable to delete ADS C:\Users\utilisateur\Desktop:Shareaza.GUID .
    ADS C:\ProgramData\Temp:97995ED4 deleted successfully.
    ADS C:\ProgramData\Temp:3CF23EC3 deleted successfully.
    ADS C:\ProgramData\Temp:B26E984E deleted successfully.
    ADS C:\ProgramData\Temp:B19CC382 deleted successfully.
    ADS C:\ProgramData\Temp:609CAC7C deleted successfully.
    ADS C:\ProgramData\Temp:BE6DC701 deleted successfully.
    ADS C:\ProgramData\Temp:3B3A35EC deleted successfully.
    < ipconfig /flushdns /c >
    Configuration IP de Windows
    Cache de r‚solution DNS vid‚.
    C:\Users\utilisateur\Desktop\cmd.bat deleted successfully.
    C:\Users\utilisateur\Desktop\cmd.txt deleted successfully.
    ========== OTL ==========
    No active process named alq.exe was found!
    Registry value HKEY_USERS\S-1-5-21-1478217905-3122460300-2794431313-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_USERS\S-1-5-21-1478217905-3122460300-2794431313-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
    Registry value HKEY_USERS\S-1-5-21-1478217905-3122460300-2794431313-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}\ not found.
    Registry value HKEY_USERS\S-1-5-21-1478217905-3122460300-2794431313-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Application Layer Gateway deleted successfully.
    File C:\Program Files\Common Files\alq.exe not found.
    Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\avast5 scheduled to be deleted on reboot.
    Registry value HKEY_USERS\S-1-5-21-1478217905-3122460300-2794431313-1000\Software\Microsoft\Windows\CurrentVersion\Run\\EA Core deleted successfully.
    Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
    C:\Windows\Downloaded Program Files\gp.inf not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{03055203-caed-11df-8225-001f16bb07c1}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03055203-caed-11df-8225-001f16bb07c1}\ not found.
    File E:\InstallTomTomHOME.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{048365db-63ef-11e0-8dae-001f16bb07c1}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{048365db-63ef-11e0-8dae-001f16bb07c1}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{048365db-63ef-11e0-8dae-001f16bb07c1}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{048365db-63ef-11e0-8dae-001f16bb07c1}\ not found.
    File %µ£H:\WD IDN.exe%µ£ autoplay=true not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{094ead4e-0766-11e0-83e7-001f16bb07c1}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{094ead4e-0766-11e0-83e7-001f16bb07c1}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{094ead4e-0766-11e0-83e7-001f16bb07c1}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{094ead4e-0766-11e0-83e7-001f16bb07c1}\ not found.
    File E:\Autorun.exe not found.
    C:\Windows\msdownld.tmp folder deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 56579 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    User: TEMP
    ->Temp folder emptied: 204800 bytes

    User: utilisateur
    ->Temp folder emptied: 491538924 bytes
    ->Temporary Internet Files folder emptied: 647284834 bytes
    ->Java cache emptied: 9415866 bytes
    ->Flash cache emptied: 298240 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 95538601 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 1.187,00 mb


    [EMPTYFLASH]

    User: All Users

    User: Default
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Flash cache emptied: 0 bytes

    User: Public

    User: TEMP

    User: utilisateur
    ->Flash cache emptied: 0 bytes

    Total Flash Files Cleaned = 0,00 mb


    OTL by OldTimer - Version 3.2.22.3 log created on 04152011_213223

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\avast5 scheduled to be deleted on reboot.
    15 Avril 2011 21:49:15

    Ok

    Télécharge TFC par OldTimer impérativement sur ton Bureau:

  • Faites un double clic sur TFC.exe pour le lancer.
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
  • Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système.



    Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.



  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :



  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen rapide".
  • Afin de lancer la recherche, clic sur " Rechercher ".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
  • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
  • Si des infections sont présentes, clic sur "Afficher les résultats"
    puis sur "Supprimer la sélection".

    Enregistre le rapport sur ton Bureau.
  • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    a c 295 8 Sécurité
    15 Avril 2011 22:15:05

    Bonjour,

    Le "Form1" vient du fichier suivant : C:\Program Files\Common Files\alq.exe

    Il a été déplacé dans la quarantaine de OTL dans le dossier suivant : C:\_OTL

    J'aimerais que tu l'upload sur le site suivant :
    http://upload.malekal.com/
    Anonyme
    15 Avril 2011 22:45:00

    @hackinginterdit:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6370

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19048

    15/04/2011 22:37:36
    mbam-log-2011-04-15 (22-37-36).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 153927
    Temps écoulé: 5 minute(s), 12 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)





    @ Destrio: C'est fait.
    16 Avril 2011 06:50:25

    Bonjour Cel0ush
    Salut Destrio

    Cel0ush Merci pour l'envoi du fichier!

    Comment se comporte ton PC maintenant ?

    Lance OTL et clique sur purge outils.
    Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    Anonyme
    16 Avril 2011 09:12:29

    Bonjour,

    Et bien le "Form1" n'apparaît plus au démarrage, donc je pense que c'est résolu :) 

    Merci beaucoup pour ton aide !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS