Se connecter / S'enregistrer
Votre question

w32.virut-A, impossible à le supprimer

Tags :
  • Mise à jour Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Septembre 2006 14:57:26

Hello, :cry: 

ça fait quelques temps que j'ai ce virus ( Win32.Virut-A ) et je n'arrive pas à m'en débarasser, meme apres avoir formater plusieurs fois Windows... j'ai vu sur le forum qu'il y avait d'autre cas similaires, mais j'aurai voulu avoir une aide personalisé... Thank's!

voilà le rapport de Hijack:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\nwnmff_e14.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\winlogon.exe
C:\dfndrff_e14.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\kybrdff_e14.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Documents and Settings\Raphy\Bureau\HijackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: (no name) - {293B6284-6542-4DF2-8185-17BAE0FDE552} - C:\WINDOWS\System32\sstqp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDOWS\system32\fccyaba.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccyaba - C:\WINDOWS\SYSTEM32\fccyaba.dll
O20 - Winlogon Notify: ssqqppo - C:\WINDOWS\SYSTEM32\ssqqppo.dll
O20 - Winlogon Notify: sstqp - C:\WINDOWS\System32\sstqp.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Microsoft Windows Spoolsv Service - Unknown owner - C:\WINDOWS\spoolsv.exe
O23 - Service: MSCommmand - Unknown owner - C:\WINDOWS\System32\dllcache\mswincom32.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - C:\WINDOWS\System32\net32b.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

Autres pages sur : w32 virut impossible supprimer

26 Septembre 2006 15:23:45

Bonjour,

Le rapport HijackThis n'est pas complet. Il manque le début.

Plusieurs infections.

Télécharge VundoFix.exe et mets le sur le bureau.
Note ou imprime les instructions qui suivent avant de commencer :

> Lance VundoFix.exe
> Clique sur le bouton Scan for Vundo
> Une fois le scan terminé, clique sur le bouton Remove Vundo
> Un message demandera confirmation, clique sur YES
> Le bureau va disparaître. C'est normal.
> Ensuite un message va indiquer que le PC va se fermer. Clique sur OK.
> Redémarre le PC.

> Enfin poste le contenu du rapport situé ici C:\vundofix.txt ainsi qu'un nouveau rapport HJT complet.
a b 8 Sécurité
26 Septembre 2006 18:11:13

:hello: 

Ensuite :

  • Télécharge combofix.exe (par sUBs) sur ton Bureau
  • Double clique combofix.exe et suis les invites.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    Contenus similaires
    26 Septembre 2006 18:21:58

    Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:46:14, on 26.09.2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\Mixer.exe
    C:\nwnmff_e14.exe
    C:\WINDOWS\update\updmgr.exe
    C:\WINDOWS\winlogon.exe
    C:\dfndrff_e14.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\kybrdff_e14.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\cmd.exe
    C:\WINDOWS\system32\cscript.exe
    C:\Documents and Settings\Raphy\Bureau\HijackThis(2).exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
    O2 - BHO: (no name) - {293B6284-6542-4DF2-8185-17BAE0FDE552} - C:\WINDOWS\System32\sstqp.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDOWS\system32\fccyaba.dll
    O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
    O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
    O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
    O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: fccyaba - C:\WINDOWS\SYSTEM32\fccyaba.dll
    O20 - Winlogon Notify: ssqqppo - C:\WINDOWS\SYSTEM32\ssqqppo.dll
    O20 - Winlogon Notify: sstqp - C:\WINDOWS\System32\sstqp.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Microsoft Windows Spoolsv Service - Unknown owner - C:\WINDOWS\spoolsv.exe
    O23 - Service: MSCommmand - Unknown owner - C:\WINDOWS\System32\dllcache\mswincom32.exe (file missing)
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Microsoft Windows Internet Connections Manager (net32b) - Unknown owner - C:\WINDOWS\System32\net32b.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
    O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

    Vundofixe:

    VundoFix V6.1.6

    Checking Java version...

    Sun Java not detected
    Scan started at 17:53:41 26.09.2006

    Listing files found while scanning....

    C:\WINDOWS\system32\iifebba.dll

    VundoFix V6.1.6

    Checking Java version...

    Sun Java not detected
    Scan started at 18:01:50 26.09.2006

    Listing files found while scanning....

    C:\WINDOWS\system32\iifebba.dll
    C:\WINDOWS\system32\urqommj.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\iifebba.dll
    C:\WINDOWS\system32\iifebba.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\urqommj.dll
    C:\WINDOWS\system32\urqommj.dll Has been deleted!

    Performing Repairs to the registry.
    Done!


    a b 8 Sécurité
    26 Septembre 2006 18:26:00

    Maintenant fais ce que j'ai dit.
    26 Septembre 2006 18:29:36

    Voilà pour combofix:

    "MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
    "Spooler SubSystem App"="C:\\WINDOWS\\System32\\spoolsvc.exe"
    "NAV CfgWiz"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CfgWiz.exe /GUID NAV /CMDLINE \"REBOOT\""
    "Microsoft (R) Windows Update Manager"="C:\\WINDOWS\\update\\updmgr.exe"
    "C-Media Mixer"="Mixer.exe /startup"
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "Application Layer Gateway Service"="C:\\WINDOWS\\System32\\algs.exe"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
    "DeskHtmlVersion"=dword:00000110
    "DeskHtmlMinorVersion"=dword:00000005
    "Settings"=dword:00000001
    "GeneralFlags"=dword:00000001

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"
    "Flags"=dword:00000002
    "Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
    00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
    "CurrentState"=hex:04,00,00,40
    "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
    ff,ff,04,00,00,00
    "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
    00,00,01,00,00,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
    "{7D00738B-6974-4794-98D4-DE79A07ECD81}"=""

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
    "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
    "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
    "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyaba
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqqppo
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp

    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
    securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


    Contents of the 'Scheduled Tasks' folder
    C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur.job
    C:\WINDOWS\tasks\Symantec NetDetect.job

    Completion time: 26.09.2006 18:26:55.21
    ComboFix.txt
    a b 8 Sécurité
    26 Septembre 2006 19:03:54

    Rapport Hijackthis maintenant.
    26 Septembre 2006 19:12:38

    Voilà pourquoi je voulais le début du rapport :
    Citation :
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Windows XP pas à jour du tout
    --> système super vulnérable

    installe d'urgence un pare-feu, par exemple ZoneAlarm version gratuite (en français et facile)
    26 Septembre 2006 21:53:39

    voilà le dernier rapport de Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:51:45, on 26.09.2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\update\updmgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\algs.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\raphy\Bureau\HijackThis(2).exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
    O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    26 Septembre 2006 23:46:56

    Re,

    1/ Télécharge et installe CCleaner

    2/ Télécharge et installe ewido
    Mets-le à jour (Bouton Update en haut puis bouton Start Update)

    3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
    Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

    4/ Lance HijackThis
    puis --> Do a system scan only
    coche les lignes indiquées ci-dessous
    puis --> Fix checked
    puis oui à la question de confirmation

    O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
    O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe

    O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe

    O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe


    5/ Assure-toi que tu as accès aux fichiers cachés.
    (Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    "Afficher les fichiers et dossiers cachés" ->coché
    "Masquer les extensions des fichiers dont le type est connu" ->décoché
    "Masquer les fichiers protégés du système d'exploitation" ->décoché)

    6/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

    C:\WINDOWS\System32\algs.exe
    C:\WINDOWS\update\ --> le dossier
    C:\WINDOWS\System32\winmsfws.exe

    7/ Supprime le service infectieux comme ceci :

    Démarrer/Exécuter/ tape sc delete UpdateManager puis Entrée

    8/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

    9/ Lance ewido :
    Bouton Scanner
    Puis onglet Settings
    Dans la section How to Act, clique sur Recommanded Actions. Sélectionne Quarantine.
    Reviens à l'onglet Scan. Clique sur "Complete System Scan"
    A la fin du scan, choisis l'option "Apply All Actions" en bas.
    Clique sur "Save Report", puis "Save Report As" afin de sauvegarder le rapport sur le bureau.

    10/ Redémarre normalement, poste le rapport d'ewido ainsi qu'un nouveau rapport HijackThis.

    --------------------

    Faudra penser à installer un antivirus et à mettre à jour Windows.

    27 Septembre 2006 14:39:27

    voilà, j'ai fais tout ce que tu m'as dis:

    le rapport de Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:31:41, on 27.09.2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\raphy\Bureau\HijackThis(2).exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    et le rapport d'ewido:

    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 14:27:34 27.09.2006

    + Scan result:



    C:\WINDOWS\system32\eyiuodt.exe -> Backdoor.Rbot.aem : Cleaned with backup (quarantined).
    :mozilla.63:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
    :mozilla.64:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
    :mozilla.65:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
    :mozilla.19:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.20:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.21:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.22:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.23:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.24:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.25:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.26:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.27:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.28:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.29:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.30:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.31:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.32:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
    :mozilla.125:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
    :mozilla.126:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
    :mozilla.127:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).
    :mozilla.46:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).
    :mozilla.47:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).
    :mozilla.60:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).
    :mozilla.18:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).
    :mozilla.130:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).
    :mozilla.117:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.118:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.119:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.120:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.121:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.122:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).
    :mozilla.10:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
    :mozilla.8:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
    :mozilla.9:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
    :mozilla.124:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).
    :mozilla.58:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).
    :mozilla.59:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).
    :mozilla.101:C:\Documents and Settings\raphy\Application Data\Mozilla\Firefox\Profiles\7zjzen8k.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).
    C:\mv.exe -> Trojan.Dialer.u : Cleaned with backup (quarantined).


    ::Report end

    a b 8 Sécurité
    27 Septembre 2006 14:46:39

    Tu n'as pas d'antivirus !
    Installe en un comme AntiVir fais un scan complet puis poste le rapport.
    27 Septembre 2006 17:26:25

    voilà, j'ai réinstallé Norton, après un Scan, Norton me dis qu'il reste encore W32.virut.A à 5 endroits... et qu'il est impossible de le mettre en quarantaine et de le supprimer
    a b 8 Sécurité
    27 Septembre 2006 17:27:51

    Indique leur emplacement stp.
    27 Septembre 2006 17:42:07



    (désolé, c'est le seul moyen que j'ai trouvé...)
    a b 8 Sécurité
    27 Septembre 2006 17:49:47

    Ca devient inquietant.
    Des fichiers systeme apparement.

    Étape 1 :

    Télécharge eScan Antivirus Toolkit. Sauvegarde-le sur ton Bureau.
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2 :

    Voici comment mettre l'outil à jour :

    1. Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

    2. Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    3. Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

    Ne pas lancer le scan tout de suite !

    Étape 3 :

    Redémarre en mode Sans Echec

    Étape 4:

    Du mode Sans Échec, voici comment utiliser le programme :

    1. Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

    2. Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

    3. Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    4. Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

    5. Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

    6. Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

    7. Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
    27 Septembre 2006 18:13:53

    y a un petit problème... quand je suis en mode Sans Echec, et veux ouvrir mwavscan, ça me dit que le fichier est infecté par un virus... et pas possible de l'ouvrir...
    a b 8 Sécurité
    27 Septembre 2006 18:27:38

    Je crois qu'il va falloir envisager de formater.
    Ton virus s'attaque aux fichiers systemes, programmes...

    Attends la confirmation d'autres helpers.
    27 Septembre 2006 18:31:25

    mais j'ai déjà formater... 6fois, en moins d'une semaine... le virus, ne disparait pas...
    27 Septembre 2006 20:53:29

    Bonsoir,

    j'ai bien peur moi aussi qu'il faille formater.

    mais de cette façon (sinon tu vas à nouveau être infecté) :

    1/ formate ton disque et installe Windows XP et les drivers mais rien d'autre (surtout n'utilise pas de crack...)
    2/ ensuite avant toute connexion à Internet, installe un pare-feu et un antivirus, que tu auras préalablement télécharger et mis sur une clef USB ou sur CD
    3/ mets à jour l'antivirus et windows XP (SP2 requis)

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS