HELP ! supprimer Win32.virut-b.IK

Bonjour à tous,


@ linkfutrue

Arrête un peu de faire de la pub...



@ capucine

Es-tu la même personne que la capucine que j'aide ici ?
http://www.commentcamarche.net/forum/affich 11329765 virus bagle comment s en debarrasser?page=2#59


Tu as une infection Virut, qui est très virulente et difficile à désinfecter. Le formatage est souvent la seule issue.
Cette infection se propage le plus souvent par deux moyens : les cracks et keygens (si tu en as, ne les garde pas et n'en télécharge plus jamais) et par des disques amovibles infectés (clés USB, disques durs externes, lecteurs mp3... qu'il va falloir désinfecter).

• Pour commencer, tu dois impérativement sauvegarder tes documents, de préférence sur CD ou DVD. Ne sauvegarde surtout aucun fichier exécutable (correspondant à des programmes : extensions .exe, .scr, ou dossier compressé en contenant...), seulement des documents.
Si ton ordinateur est en réseau, isole le des autres.

• Ensuite, tu dois désinfecter tous tes disques amovibles avec un antivirus et avec FlashDisinfector

• Enfin, si tu veux essayer de désinfecter, fais ces 3 scans à la suite, et poste les dans ta prochaine réponse :
DrWeb CureIt
AVPTool
eScan Antivirus Toolkit

Lorsque quelque chose sera détecté, tu devras choisir « Désinfecter » si possible, sinon « Quarantaine »

Bonjour Anthony,

Tu es le meilleurs ! j'ai réussi à tout éradiquer. y compris la méchante bête Win32.virut-b (enfin j'espère!)

J'ai branché tous mes disques flash et désactivé Avast pour lancer Flashdisinfector et j'ai eu un bug.
Alors je me suis rabattue sur

RavAntivirus (d'Evosla) : http://www.evosla.com/compteur.php?soft=rav_antivirus

Il a listé ceci :

- C:\\WINNT\folder.htt
- virus trouvé en mémoire : folder.htt
- Supprimé avec succès > C:\\WINTNT\folder.htt
- Supprimé avec succès > C:\\WINTNT\\System32\folder.htt
- Supprimé avec succès > C:\\WINTNT\folder.htt\System32\MDM.exe

Jusqu'à ce que j'ai d'affiché : "le PC est sain"

Après ça, j'ai réactivé Avast et j'ai redémarré comme conseillé. Puis j'ai repassé tout le PC avec A-squared et cette fois il n'a absolument rien trouvé, pas même Win32.virut-b

Je suis allée sur le fichier "Internat.exe" infecté par Win32.virut-b et avec un clic droit j'ai repassé A-squared, Avast et Spyterminator et ils n'ont rien trouvé.

J'en conclu que Win32.virut-b a été éradiqué aussi.

Après avoir lancé msconfig, j'ai décoché le fichier "Internat.exe" du démarrage et j'ai redémarré.
J'ignore quel est le rôle de ce fichier mais le PC a bien redémarré et fonctionne normalement.
Peut-être devrais-je supprimer ce fichier "Internat.exe" ?

Qu'en penses-tu ?

Je te remercie mille fois et te fais un énorme bisou.

---------------------------------------------------------------------------------------
Citation : @ capucine
Es-tu la même personne que la capucine que j'aide ici ?
http://www.commentcamarche.net/forum/affich 11329765 virus bagle comment s en debarrasser?page=2#59 .

Non, Anthony, je ne suis pas la Capucine dont tu parles ci-dessus. (rire)

Hum ça m'étonnerait que ça soit déjà terminé

Réessaye Flashdisinfector stp, il faut impérativement le faire pour vacciner tes disques amovibles et éviter la propagation de l'infection (RAV ne fait que désinfecter mais ne vaccine pas)


Ensuite, vérifie en faisant un scan en ligne avec Kaspersky (surtout, poste moi le rapport final) :

• Désactive ton antivirus

• Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (avec Internet Explorer uniquement)

• En bas à droite clique sur Démarrer Online-scanner

• Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

• Accepte les Contrôle ActiveX

• Choisis Poste de travail pour le scan.

• Celui-ci terminé, sauvegarde (choisis fichier texte) et poste le rapport.

• Pour t'aider à utiliser le scan en ligne : http://www.malekal.com//scan_Av_en_ligne.php#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonsoir Anthony,

Voilà, tout s'est bien déroulé sauf qu'il y avait des fichiers "Vérouillés" ?

Mais pour tout le reste, aucun virus ni fichiers suspects en vue.

Je me suis trompée pour la sauvegarde, j'ai fais en htm. Du coup je l'ai zippé pour le mettre dans Archive-host.

Le Rapport est visible ici : http://sd-1.archive-host.com/membres/up/9519353696522030/RapportAnalyse.zip

J'ignore comment on fait pour analyser les fichiers "vérrouillés" et aussi pourquoi ils sont "vérrouillés" !!!

Merci encore pour ton aide. J'attends ta réponse !

Effectivement, ton ordinateur ne semble plus infecté, et FlashDisinfector a bien fait son travail de vaccination :)

Il me reste à te donner des conseils pour sécuriser ton ordinateur, si tu es d'accord ? Si oui, j'aurai besoin de ça :

Télécharge hijackthis (logiciel de diagnostic) sur ton Bureau :
http://www.commentcamarche.net/telecharger/telechargement-159-hijackthis

Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum

Bonjour Anthony,

Et bien, finalement je ne suis plus aussi certaine qu'il ni ai plus d'infection ou alors le virus à fait des dégâts.

Il était dans "Internat.exe mais aussi dans Quick Time.exe, et j'ai supprimé Quick time en totalité en pensant supprimer le virus en même temps. Plus moyen de réinstaller Quick time. J'ai nettoyé la base de registre avec Reg-cleaner et les Sites fonctionnant avec Quick time ouvrent une page vide. Je vois l'icône de Quick time apparaitre puis se "déchirer" et plus rien.

J'ai voulu voir les options d'Affichage et il me manque au moins la moitié des choses et d'autres qui n'était pas là sont apparues.
Vois l'imprim-écran > http://nsa06.casimages.com/img/2009/03/25/090325100907915398.jpg

Voici le copier/coller du dernier rapport que m'a demandé.

Clic et utilise la loupe > http://nsa06.casimages.com/img/2009/03/25/090325101736914023.jpg

Je crois bien que je vais devoir formater le disque C: et tout réinstaller. Ca me fait peur. Snifff !

Bonne journée

On en revient à ce que je t'avais recommandé plus haut


Fais un scan avec DrWeb CureIt, pour vérifier :
http://www.commentcamarche.net/faq/sujet 16138 comment supprimer virut#premiere methode dr web cureit

Bonsoir Anthony,

j'ai passé Dr Web en suivant tes explications et aucun virus ni fichiers infestés n'a été trouvé.

Donc le Rapport est vierge.

Mais dans mon PC, c'est un champ de bataille et malgré le fait que j'ai désinstallé et réinstallé Quick time, tous les programmes qui utilisent Quick time ne fonctionnent plus sur mon PC. La page reste vide.

Je vais me voir contrainte de remettre le CD de Windows 2000 et de tout réinstaller.

Dis-moi, le fait de remettre Windows 2000 va automatiquement formater mon disque C: et ensuite je pourrai réinstaller mes Logiciels ?

Merci encore pour ton aide.

Je ne connais pas bien Windows 2000, mais si c'est comme Windows xp, tu vas avoir le choix entre réinstaller Windows pour réparer le système sans formater, ou un formatage complet du disque dur.

Tuto pour réparer : http://www.malekal.com//reparer_Windows.php#mozTocId433397

Pour formater, c'est la même chose sauf qu'il faut choisir "Installer" au premier écran, et à nouveau "installer" au deuxième.

Bonjour Anthony,

Finalement, j'ai inséré le CD de windows 200 et j'ai choisi l'option "Réparer".
Ca a bien fonctionné, je pense car tous mes fichiers et affichages sont revenus à la normal.

J'ai ensuite passé RAV-antivirus et il à trouvé "folder.htt" en mémoire et aussi dans system32.
Il a marqué "Supprimés avec succès" et ensuite "Ordinateur sain"

Je ne sais pas quoi penser car au dernier passage, il avait déjà trouvé et détruit ce "folder.htt", voir mon rapport du message 24 mars 14:26.

J'ai ensuite passé à nouveau A-squared, Dr Web antivirus, Avast antivirus, qui n'ont rien détecté de suspect.

Je voulais aussi supprimer un dossier nommé "Autorun.inf" qui s'est mis partout suite à mon scan avec Flash-desinfector, et pas moyen de l'enlever car l'accès est refusé.
Imprim écran ici > http://nsa06.casimages.com/img/2009/03/27/090327024153297218.jpg
A quoi sert le fichier qu'il contient, stp ?

Que dois-je faire pour "folder.htt" ? Ce n'est peut-être pas un virus ?

Le dossier Autorun.inf créé par FlashDisinfector sert à vacciner ton ordinateur et tes disques amovibles contre les infections se transmettant par disque amovible.

En effet, lorsque tu insères un disque amovible, Windows cherche la trace d'un fichier autorun.inf pour savoir ce qu'il doit faire. C'est une fonction normale de Windows, qui est détournée par certaines infections : le fichier autorun.inf peut être modifié pour commander l'ouverture d'un fichier malveillant, ce qui permet à l'infection de se diffuser sur tous les ordinateur où tu branches des disques infectés etc...

Ce dossier non-modifiable empêche cela :)



folder.htt est une infection qui se transmet comme cela, es-tu certaine d'avoir désinfecté tous tes disques avec FlashDisinfector ? (clés USB, lecteurs mp3, disques durs externes, appareil photo numériques etc...)

Salut,

pour suivre :)

Anthony à écrit :
folder.htt est une infection qui se transmet comme cela, es-tu certaine d'avoir désinfecté tous tes disques avec FlashDisinfector ? (clés USB, lecteurs mp3, disques durs externes, appareil photo numériques etc...)

Oui, j'ai passé tous mes disques fixes et amovibles avec FlashDisinfector et le Dossier "Autorun" est bien présent sur chacun d'eux.

Maintenant que j'y pense, "folder.htt" est revenu après que j'ai inséré le CD Windows 2000 pour faire ma réparation.

Ce matin j'ai passé RAV-antivirus juste après le démarrage et il n'a PAS retrouvé "folder.htt"
J'en déduit que cette infection est éradiquée et qu'elle est présente sur le CD d'installation de Windows 2000.

Hier AM, j'ai repassé, A-squared, Spyware terminator, j'ai installé SpyBlaster et j'ai aussi repassé tous les Antivirus que j'ai à ma disposition : Avast résident, Dr Web et RAV.
Je n'ai pas conservé Kaspersky (très lourd) car mon pauvre PC qui a 9 ans n'est pas assez puissant et je n'ai pas les moyens de m'offrir un nouveau PC pour l'instant mais je ne désespère pas (rire).

Rien de suspect n'a été trouvé. j'ai ensuite vérifié le bon fonctionnement de tous mes logiciels, supprimé ceux que je n'utilise pratiquement jamais (comme Office 2000 qui est très lourd) et j'ai Défragmenté tous mes disques.

A présent, je n'ai plus qu'à reprendre mon travail de graphisme sur mon Site http://capucine.servhome.org/cariboost1 . oufffff !

Bonne journée

P.S. : que penses-tu de Spyware terminator, stp ? j'ai l'impression qu'il ne sert pas a grand chose !

Télécharge hijackthis (logiciel de diagnostic) sur ton Bureau :
http://www.commentcamarche.net/telecharger/telechargement-159-hijackthis

Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum


Avec ça je pourrais te dire s'il y a d'autres infections, je pourrai t'aider à optimiser ton ordinateur pour le rendre un peu plus rapide, et t'aider à le sécuriser.

Bonjour Anthony,

Voilà le Rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:52:04, on 29/03/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\program files\a-squared free\a2service.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
G:\DOSSIER TEMPORAIRE\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\program files\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Il y a des restes d'une autre infection, supprime ce dossier : C:\Program Files\AskSearch

Relance hijackthis, choisis "do a system scan only", coche les lignes suivantes et clique sur "Fix checked"

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll


Fais ensuite ce scan de vérification :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici



Puis redémarre ton ordinateur et poste un nouveau rapport hijackthis

Bonjour Anthony,

Voilà, J'ai supprimé le dossier AskSearch qui se trouvait dans Program file.

J'ai relancé hijackthis et coché les lignes que tu m'as indiquées puis cliqué sur "Fix checked" et tout à disparu du rapport pour ne laisser qu'un rapport vide.

Téléchargé puis installé Malwarebytes' Anti-Malware et après la mise à jour, fait l'examen complet

Rapport :

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1917
Windows 5.0.2195 Service Pack 4

30/03/2009 12:03:18
mbam-log-2009-03-30 (12-03-18).txt

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 73870
Temps écoulé: 23 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
---------------------------------------------------------
J'ai redémarré et lancé Hijackthis.

Rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:41, on 30/03/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\program files\a-squared free\a2service.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\DOSSIER TEMPORAIRE\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\program files\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Re,


J'ai un doute, peux-tu faire ce scan de vérification stp :


Scan en ligne Kaspersky

• Désactive ton antivirus

• Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (avec Internet Explorer uniquement)

• En bas à droite clique sur Démarrer Online-scanner

• Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

• Accepte les Contrôle ActiveX

• Choisis Poste de travail pour le scan.

• Celui-ci terminé, sauvegarde (choisis fichier texte) et poste le rapport.

• Pour t'aider à utiliser le scan en ligne : http://www.malekal.com//scan_Av_en_ligne.php#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonjour Anthony,

Je dois t'avouer que je ne suis pas très chaude pour réutiliser Kaspersky.
Même en ligne, il télécharge plein de choses et la dernière fois cela a pris + de 2 heures.

Puis, j'ai remarqué que certaines choses avaient été modifiées suite à ce scan. Coïncidence peut-être !!!

Mon PC est très limité et manque de puissance et les logiciels qui sollicitent trop de mémoire engendrent des disfonctionnements. Cela était déjà le cas même avant les virus.

Je suis certaine que ces virus ont infesté mon PC lors d'une courte navigation avec I.E. alors que je n'utilise d'ordinaire que Mozilla Firefox qui est très sécurisé et auquel j'ai ajouté "NoScript"
Alors I.E. je l'ai mis de coté et je ne l'utiliserai plus.

Sur quel fichier, as-tu une doute, stp ? Peut-être puis-je supprimé le fichier en question s'il n'est pas indispensable !!!

J'ai aussi désinstallé Office 2000 qui prenait 115 Mo en me disant que ça irait plus vite mais il n'y a quasiment pas de différence. Mon PC reste lent.
Je suis allée dans msconfig et je n'ai laissé coché que ce que tu vois sur l'imprim-écran ci dessous :
http://nsa06.casimages.com/img/2009/03/31/090331084440810018.jpg

Alors, je ne sais plus !!!!

Excuse-moi, j'avais oublié que tu avais déjà fait ce scan... Dans ce cas, tu peux désinstaller "On-Line Scanner".

Ton rapport ne montre plus d'infection, rassure toi ;)

Voici quelques conseils pour finir le nettoyage, sécuriser ton ordinateur et l'optimiser pour essayer de le rendre plus rapide.


1) Sécurise ton ordinateur

• Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces et moins lourds (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

• Anti-spyware :
* Désinstalle A-squared qui est inutile (pas de protection résidente, un scan médiocre, et une consommation de mémoire permanente malgré tout...)
* Pour SpywareTerminator à toi de voir, personnellement je trouve ce logiciel peu efficace...
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement (« Updates »), tous les 15 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 7 depuis ce lien : IE 7

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/

• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker



2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim

Lance CCleaner
Clique sur Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



6) Télécharge JkDefrag sur ton Bureau
Ce petit programme permet de défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

Je te conseille de le lancer en mode sans échec pour augmenter son efficacité : pour cela, redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle et double clique sur le fichier Jkdefreg.exe présent dans le dossier Jkdefrag (si tu as choisis la version sans installation).
La défragmentation peut durer plusieurs heures, et il ne faut pas utiliser l'ordinateur pendant ceci (tu peux le faire de nuit s'il faut).

Redémarre ton ordinateur, et dis moi si tu constates une amélioration.