infecté par virtumonde aidez moi svpRésolu/Fermé

Question

Bonjour,
alors voila mon problème: quand je lance spybot et qu'il scan mon ordinateur, en bas de la fenêtre spybot, à côté de "recherche des mouchards" il y a l'avancement du scan et pendant le scan il y a divers nom qu'il défilent et au bout d'un moment il a virtumonde qui apparait mais spybot ne le détecte pas comme étant un virus ou autre, il le scan et puis c'est tout. Il y a également d'autres nom qui apparaissent tel que cydoor. de plus quelque fois quand je suis sur internet il y a des page de pub qui s'ouvre.
J'espère avoir était assez clair dans mes propos et que quelqu'un pourra m'aider à supprimer tout sa de mon disque dur :)
(spybot est à jour)

Merci d'avance à tous ceux qui pourrons m'aider.

kduc · Answer

Salut et ... bienvenue,

Bizarre ...

Possibilité d' être tombé sur un "faux positif" !

Télécharge,  installe et mets à jour Malwarebytes Anti-Malwares …
http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresbytes-anti-malware-352008/messages-1.html puis, lance un scan COMPLET et poste le rapport.

PS : si MalwareByte's a détecté des infections, clique sur Afficher les résultats, 
puis sur Supprimer la sélection.

---
Pour les pages de pubs ...

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Puis, double-clique sur Navilog1.exe pour le démarrer.
(clic droit > Exécuter en tant qu’ administrateur, si tu es sous Vista)

Laisse-toi guider et appuie sur une touche quand on te le demande.

Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2 >

Patiente le temps du scan.
Il te sera peut-être demandé de redémarrer le PC.
Laisse l'outil le faire ; sinon, redémarre le PC normalement
si demandé.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

---
Bonne journée.

the-doctor46 · Answer

bonjour,

tout d'abord merci à toi kduc de prendre de ton temps pour m'aider à résoudre mon problème.

alor voici le rapport du scan de Malwarebytes Anti-Malwares:


Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2659
Windows 6.0.6001 Service Pack 1

20/08/2009 10:25:44
mbam-log-2009-08-19 (23-25-35).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 301298
Temps écoulé: 41 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 44

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\m (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\113350.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\114223.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\126438.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\127718.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\128108.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\137592.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\138357.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\138669.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\144410.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\146157.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\146188.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\157982.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\159947.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\160478.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\169214.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\170087.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\170446.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2118571.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2119351.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2119367.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2129663.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2130817.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2131192.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2131816.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2133890.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2134468.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2142938.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2145138.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2146542.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2157509.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2158086.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\2158195.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\234563.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\249117.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\249383.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\249398.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\68702.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\70122.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\70153.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\80980.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\83054.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\83772.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\84802.exe (Worm.Bagle) -> No action taken.
C:\Users\Yannou sauvage\AppData\Roaming\drivers\downld\87422.exe (Worm.Bagle) -> No action taken. 



----------------------------------------------------------------------------


et voici maintenant le rapport du scan de navilog1:


Fix Navipromo version 4.0.1 commencé le 20/08/2009 13:09:22,27

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Intégrale  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5200+ )
BIOS : BIOS Date: 03/26/08 10:37:53 Ver: 08.00.12
USER : Yannou sauvage ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:117 Go (Free:63 Go)
D:\ (Local Disk) - NTFS - Total:347 Go (Free:88 Go)
E:\ (CD or DVD)
H:\ (USB)
I:\ (USB)
K:\ (USB)
L:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Windows\prefetch\GAMEOVERLAYUI.EXE-B60F837D.pf supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\YANNOU~1\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok






*** Scan terminé 20/08/2009 13:22:57,58 ***

---------------------------------------------------------------------
voilà voilà, que dois-je faire maintenant?

kduc · Answer

Salut,

Pour Virtumonde, il semblerait que tu aies affaire à un "faux positif" dans la mesure ou Malwarebytes ne détecte rien !

Maintenant, clique droit sur ce lien pour installer ComboFix (par sUBs) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

Prends connaissance de ce tutoriel : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Ferme toutes les fenêtres et applications. 
Déconnecte-toi du net et désactive tes protections résidentes :
https://forum.pcastuces.com/default.asp

A ce stade (et c' est impératif), désactive l' UAC : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/desactiver-controle-utilisateurs-sujet_198996_1.htm

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra. 
Copie/colle ce rapport dans ta prochaine réponse.

PS : Le rapport se trouve également ici : C:\Combofix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, cela pourrait provoquer le gel du programme!

---
Ensuite, fais un scan HijackThis :
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ... et poste le rapport.

the-doctor46 · Answer

Bonsoir, 
alors voilà, j'ai désactivé mon UAC et arrêté mon antivirus, fermé toutes les fenêtre en cours et je me suis deconecté d'internet et j'ai lancé combofix (que j'ai renomé) et sa fait maintenan au moins 40minutes que le scan est en cours et qu'il ne se passe rien... Je me demande donc si c'est normale???Je précise également que je n'ai pas cliqué dans la fenêtre de combofix, n'y même ailleur, depuis que j'ai lancé le scan je n'ai rien fait

PS: je suis connecté sur mon iTouch

the-doctor46 · Answer

alors après plusieurs tentatives avec combofix (renommé en combo-fix) et bien il ne fonctionne pas!
Quand je le lance je clique sur oui (d'après ce que j'ai pu comprendre, car c'est écrit en anglais, c'est pour ne pas devoir retélécharger combo-fix a partir du site de l'éditeur ou quelque chose comme sa) et quand le scan commence il me dit que "pev.exe" a cessé de fonctionner et le scan ne se fait pas...
De plus, je ne sais pas si sa a un quelquonque rapport, mais je ne peux pas activer mon UAC. Je vais dns panneau de config... Et quand je suis sur la page de l'UAC je clique sur activer et OK, mais quand je reviens sur la page ensuite et bien l'UAC n'est pas activé, j'éspére que ce n'est pas à cause d'un virus que je ne peut pas l'activer... :S

Que dois-je faire??

encore merci.

kduc · Answer

Salut,

OK.

Laisse tomber Combo, pour le moment et passe à l' étape HijackThis.

the-doctor46 · Answer

salut,

alors voilà le scan Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:41, on 21/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\AASP\1.00.60\aaCenter.exe
C:\Windows\Explorer.EXE
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O15 - Trusted Zone: *.chat-land.org
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe

NoProblemo · Answer

bonjours,

À titre d'info.
Malwarebytes n'a supprimée aucune infection -> (..No action taken)
• Ouvrez le, allez dans la Quarantaine et sélectionnez [Supprimer Tout].

Pour ComboFix,
C'est bien au téléchargement que vous l'avez Renommer (Avant qu'il ne soit sauvegardé sur le bureau).
Ré-essayez la procédure de téléchargement 
• clic-droit sur le lien de téléchargement, renommez le en --> Yannou.EXE et sauvegardez le sur votre bureau. 
• Et essayez de le relancer avec l'UAC, antivirus.. stoppés !?

the-doctor46 · Answer

Bonsoir,

pour Malwarebytes c'est bon j'ai fait ce que tu m'a dit.

Effectivement pour combofix je ne l'avais pas renommé avant de l'enregistré, je l'ai donc retéléchargé en prenant soin de la renommer avant de l'enregistrer(et de supprimer l'ancienne version) mais sa me fait toujours la même chose... :s 
mon antivirus est bien désactivé au moment du scan et je ne peut toujours pas activer l'UAC.

je suis infecté par virtumonde alors ou non? je ne comprend plus trop

Merci.

NoProblemo · Answer

re,

Votre infection n'est pas Virtumonde mais Bagle.

Relancer Malwarebytes, faites la màj, lancez un scan complet "en mode normal", 
Lorsque le scan sera complété --> sélectionnez >>>>>>> [Supprimer la Sélection].
S'il y a quelques chose de détecté/supprimer --> postez le rapport.

Téléchargez sur votre bureau RSIT (de random/random): http://images.malwareremoval.com/random/RSIT.exe
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer », 
• RSIT téléchargera HijackThis (s’il n’est pas installé)-> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..
>> l'autre est dans la barre de tâche, cliquez dessus pour l'ouvrir

Rapports aussi disponibles dans C:\RSIT\log.txt & info.txt

Utilisez le site CJoint, pour convertir les rapports RSIT en page Web et  ainsi ne placer que l'adresse http//....... de les pages Web correspondantes aux rapports.

Comment poster les rapports RSIT avec l'hébergeur C-Joint
• Aller sur le site : https://www.cjoint.com/
• Appuyez sur [Parcourir] et chercher les rapports sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
>> dans la page suivante --> une adresse http//...... sera créé,,
• Copier /coller cette adresse dans votre prochain message.

• Recommencez cette procédure pour l'autre rapport..

NoProblemo · Answer

Kduc sera peut-être de retiour pour compléter la désinfection avec vous !

the-doctor46 · Answer

Bonjour,

Merci NoProblemo de votre aide.

Alors j'ai relancé Malwarebytes et il n'a rien supprimé. J'ai donc ensuite lancé RSIT dont voici les liens des deux rapport générés:

https://www.cjoint.com/?iwqWW8A7xa

https://www.cjoint.com/?iwqXsARydJ

Que dois-je faire ensuite?

Merci.

Albator · Answer

salut,

Y a un logiciel de désinfection spécilisé pour supprimer Bagle, peut-être que kduc le connait.

the-doctor46 · Answer

salut,

merci pour l'info, je vais attendre de voir ce qu'il me conseille de faire...

Bonne fin de journée.

kduc · Answer

Salut à vous

the-doctor46,

Important : si tu as téléchargé un crack, tu dois supprimer l'application crackée...
En effet, si tu réexecutes l'application (ou si celle-ci se lance au démarrage, par exemple 
comme le font les antivirus), l'application crackée va réinstaller Bagle !

Tu vas donc tourner en rond à supprimer l'infection qui renviendra.

----------
Télécharge FindyKill (de Chiquitine29) sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

! Déconnecte-toi et ferme toutes applications en cours ! 

Double-clique sur FindyKill.exe pour lancer l'installation (laisse les paramètres 
d'installation par défaut). 

Branche tes sources de données externes au PC (clé USB, disque dur externe, etc...) 

Clique droit sur le raccourci FindyKill présent sur ton bureau et 
choisis "éxécuter en tant qu'administrateur" . 

Au menu principal choisis l'option F pour français et valide par Entrée. 

Au second menu, choisis l'option 1 (recherche) et valide par Entrée. 

Laisse l' outil travailler (ne touche à rien) ... 

Poste le rapport qui apparait en fin de scan. 

Ce rapport est aussi sauvegardé à la racine du disque dur : C:\FindyKill.txt 

(CTRL+A pour tout selectionner, CTRL+C pour copier et CTRL+V pour coller) 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

the-doctor46 · Answer

Bonsoir,

alors quand je lance le scan il y a un soucis, il se bloque à 60% à la ligne "bagle: HKU\...\software\microsoft\windows\UI KEY540534

je ferme bien toutes les applications et je me déconnecte d'internet(je débranche mon câble).

et pendant le scan il y a se message qui s'affiche également: "utilitaire (QGREP) de recherche de chaîne de caractère à cessé de fonctionner"

:s

kduc · Answer

...

Téléchargez ELIBAGLA en bas de cette page 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 

Clique sur le bouton Descargar Elibagla cela va télécharger le fichier.
Place-le sur ton bureau.
Double-clique dessus pour l'ouvrir
Assure-toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifique aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente 
est bien cochée.

Clique sur le bouton Explorar pour lancer l'analyse.

Poste le rapport.

the-doctor46 · Answer

je veux bien mais il demande un code pour pouvoir le télécharger, alors j'envoie le texto avec le mot SAT mais je ne reçois aucun message avec un code dedans pour pouvoir le télécharger... :s  
Je fait comment?

michel1467 · Answer

salut télécharge a-squared free tu n'oublie pas de faire la mise a jour et tu fais un balayage après a mon avis ton problème sera résolut salut

pimprenelle27 · Answer

Bonsoir,

kduc, juste pour t'aider si besoin il y a une Possible infection W32/Heuristic-210!Eldorado ici : C:\Windows\PEV.exe

Ensuite je pense aussi qu'il faudrait faire passer usb fix.

Et voir aussi pour ça C:\Users\Yannou sauvage\AppData\Roaming\drivers

Voilà bon courrage.

kduc · Answer

Salut à tous

Effectivement,  infection possible ... voire suspicion d' infection sur VirusTotal !

Les uns le supprime, les autres le laisse !

A défaut, supprime le fichier en gras :

C:\Windows\PEV.exe <-

au besoin, utilise le mode sans échec.

---
Télécharge et install UsbFix (par Chiquitine29) : 
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe 
 
< Branche tes sources de données externes au PC (clé USB, disque dur externe, etc...) 
qui sont susceptibles d' avoir été infectés et ce, sans les ouvrir >

Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis 
"Exécuter en tant qu'administrateur". 

Au menu principal, fais le choix F (pour français) et valide par Entrée. 

Au second menu, choisis l'option 1 (recherche) et valide par Entrée. 

Laisse l' outil travailler ... 

Puis, poste le rapport UsbFix.txt qui apparaitra. 

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque dur  (C:\UsbFix.txt). 

Note 2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus 
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité 
(Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

pimprenelle27 · Answer

kduc si tu c'est le faire OTM peut le supprimer proprement : C:\Windows\PEV.exe

kduc · Answer

...

Bon, bon ... puisque tu y tiens ...

1.  Désactive tes logiciels de protection.

2. Télécharge OTMoveIt3 de OldTimer :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

- Enregistre-le sur ton bureau ;
- Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) ;
- Copie-colle ce qui est en gras, ci-dessous, dans la partie "Paste Instructions for Items to be Moved" 
(en-dessous de la barre jaune) :

:Processes
explorer.exe

:Files
C:\Windows\PEV.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Ferme tous tes programmes et clique sur le bouton rouge Moveit! pour lancer le nettoyage ;
- Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)

> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du
 passage de l'outil (mmddyyyy_hhmmss.log)

- Ferme OTMoveIt3 (en cliquant sur Exit)

Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un 
redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter...

the-doctor46 · Answer

Bonjour,

j'ai supprimé "manuellement" le fichier C:\Windows\PEV.exe, je n'ai pas eu besoin de le supprimer en mode sans échec. 

Pour ce qui est de OTMoveIt3, le lien fourni ne fonctionne pas, sa me met: "404 Not Found "

Et voici le rapport UsbFix:


############################## | UsbFix V6.021 |

User : Yannou sauvage (Utilisateurs) # YANNOUPC
Update on 22/08/09 by Chiquitine29
Start at: 18:09:45 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft® Windows Vista™ Édition Intégrale  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18813
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 117,97 Go (63,52 Go free) [Système] # NTFS
D:\ -> Disque fixe local # 347,79 Go (88,25 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,79 Go (3,79 Go free) [CLÉ 4GB] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
K:\ -> Disque amovible
L:\ -> Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\AASP\1.00.60\aaCenter.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! F:\MS32DLL.dll.vbs  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{21a93ad6-9d3c-11dd-96ec-001fc6cf6c20}
shell\AutoRun\command =J:\Autoplay.exe -auto

HKCU\..\..\Explorer\MountPoints2\{617ef499-fcde-11dd-972e-001fc6cf6c20}
shell\AutoRun\command =WDSetup.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.021 ! |

Albator · Answer

Pour faire avancer..

• Branchez tout vos périphériques USB externes,
•  Lancez UsbFix par un clic-droit > "Exécuter en tant qu'administrateur" 
• Sélectionnez l'option 2 – Suppression ,
>> Le bureau disparaîtra et le pc redémarrera ,
>> Au redémarrage, UsbFix scannera votre pc, laisse le aller,
>> le rapport apparaîtra,
&#9658; Affichez le rapport ( C:\UsbFix.txt ).

Albator · Answer

Ensuite..

Ouvrer l'invité de commandes
• Cliquez sur le bouton Démarrer.
• Dans la zone de recherche, entrez invite de commandes
• Dans la liste de résultats, faites un clic-droit sur Invite de commandes >>
>> Et sélectionner : Exécuter en tant qu’administrateur.  
Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

Copier/coller(par un clic-droit) la ligne suivante et valider..
findstr /S /I /M /L "Themida" C:\*.exe>>"%UserProfile%\bureau\Startvir.txt" 

- Le fichier Startvir.txt sera créé sur votre bureau.
&#9658; Postez le contenu du fichier.

Albator · Answer

Hum..

Votre version de Windows semble en anglais..
au lieu de la commande précédente copier/ coller(par un clic-droit) ceci :
findstr /S /I /M /L "Themida" C:\*.exe>>"%UserProfile%\desktop\Startvir.txt"

the-doctor46 · Answer

bonjour et merci de votre aide,

alors tout d'abord voici le rapport UsbFix:



############################## | UsbFix V6.021 |

User : Yannou sauvage (Utilisateurs) # YANNOUPC
Update on 22/08/09 by Chiquitine29
Start at: 14:19:55 | 24/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft® Windows Vista™ Édition Intégrale  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18813
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 117,97 Go (63,48 Go free) [Système] # NTFS
D:\ -> Disque fixe local # 347,79 Go (88,25 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,79 Go (3,79 Go free) [CLÉ 4GB] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
K:\ -> Disque amovible
L:\ -> Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\AASP\1.00.60\aaCenter.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! F:\MS32DLL.dll.vbs 

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{21a93ad6-9d3c-11dd-96ec-001fc6cf6c20}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{617ef499-fcde-11dd-972e-001fc6cf6c20}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/10/2008 20:04|--a------|1024] -> C:\.rnd 
[18/09/2006 23:43|--a------|24] -> C:\autoexec.bat 
[21/01/2008 04:22|-rahs----|333203] -> C:\bootmgr 
[19/10/2008 01:15|-ra-s----|8192] -> C:\BOOTSECT.BAK 
[20/08/2009 13:22|--a------|1257] -> C:\cleannavi.txt 
[18/09/2006 23:43|--a------|10] -> C:\config.sys 
[22/08/2009 22:22|--a------|4613] -> C:\FindyKill.txt 
[24/03/2007 02:59|-rahs----|171136] -> C:\GRLDR 
[?|?|?] -> C:\hiberfil.sys 
[18/10/2008 19:08|-rahs----|0] -> C:\IO.SYS 
[02/08/2009 20:34|--a------|3018053] -> C:\ituneslib.itl 
[19/08/2009 23:25|--a------|5695] -> C:\mbam-log-2009-08-19 (23-25-35).txt 
[18/10/2008 19:08|-rahs----|0] -> C:\MSDOS.SYS 
[?|?|?] -> C:\pagefile.sys 
[18/10/2008 19:33|--ah-----|268] -> C:\sqmdata00.sqm 
[18/10/2008 19:33|--ah-----|244] -> C:\sqmnoopt00.sqm 
[24/08/2009 14:21|--a------|4460] -> C:\UsbFix.txt 
[02/07/2009 14:27|--a------|351474] -> D:\VirtualDJ Local Database v5.xml 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.021 ! |


------------------------------


pour ce qui est du reste, j'ai bien un fichier texte Startvir qui apparaît sur le bureau mais il est vide... est-ce normale?

Albator · Answer

Vous avez laisser aller la commande FindStr.. durant quelques minutes.. y aurait du y a avoir quelques chose dedans ? Relancer Malwarebytes, faites la mises à jours --> Faites un Scan Complet en mode normal et [Supprimmer la sélection] ► postez le rapport. __________________________________________________________________________ Téléchargez Kaspersky Virus Removal Tool : https://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml • Lancez l’installation, • Cochez les items tel qu'à l'image suivante : http://img3.imageshack.us/img3/4314/kasperskyvirusremovalto.jpg • Appuyez sur [Scan] pour lancer la détection/suppression. >> Une 2ième fenêtre va s'ouvrir - image: http://img5.imageshack.us/img5/3678/kasperremovaltool2cx4.jpg >> la recherche va commencer "+-30min.". • Vérifiez "après le scan", s'il y avaient des infections d'afficher dans l'onglet [Detected]. Lorsque le scan sera complété, >> Peut-être aurez vous à valider les "Actions" de suppressions.<< • Appuyez sur [Reports..] (en bas). • Sauvegardez le rapport de Kaspersky sur votre bureau. ► postez le rapport. ______________________________ Ré-essayez de télécharger (selon la procédure de téléchargement ) et relancer combofix .. Ou l'autre logiciel proposé après..

the-doctor46 · Answer

j'ai laissé Findstr durant quelques minutes et il n'y a rien qui s'affiche dans le document texte qui apparaît sur le bureau.

j'ai relancé un scan Malwarebytes, ca n'a rien supprimé voici quand même le rapport:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2662
Windows 6.0.6001 Service Pack 1

24/08/2009 15:41:19
mbam-log-2009-08-24 (15-41-19).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 302562
Temps écoulé: 40 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


---------------------------

je fait le scan avec Kapersky et je poste le rapport...

the-doctor46 · Answer

voici le rapport du scan Kaspersky, je ne sais si c'est normale mais le scan n'a durée que deux minutes (j'ai bien coché les 4 cases comme indiqué sur l'image). kaspersky n'a rien détecté.

voici le rapport du scan (j'ai crée un lien avec cjoint car le rapport est très (très) long), voici le lien:

https://www.cjoint.com/?iyp3OWQ1C8

Albator · Answer

et combofix ce lance t-il.............

the-doctor46 · Answer

non, combofix ne se lance toujours pas :s

Albator · Answer

Malwarebyte et kaspersky ne montre aucune infection..
Comment va le PC..

Ré-essayer la commande comme ceci, mais vous devrez aller chercher le fichier "Startvir.txt" sur le C:\ ou il sera sauvegardé :
findstr /S /I /M /L "Themida" C:\*.exe>>"C:\Startvir.txt"

the-doctor46 · Answer

Bonjour,

Et bien le pc va bien il n'est plus lent comme il y a quelques jours.

J'ai ressayé la commande en allant chercher le document dans C:\ mais il est toujours vide...

Albator · Answer

Optimisation des ressources système.
Plusieurs modules de programmes placés à l'installation de leurs logiciels, sont lancés inutilement au démarrage du PC. Lorsqu'ils y en a plusieurs, cela peut altérer les performances d'un PC. Ces objets inutiles peuvent très bien être désactivés/supprimés au démarrage du PC. De ces suppressions faites avec HijackThis(pour les lignes 04-), quelque unes pourraient aussi être faites avec MsConfig, à vérifier..

Dans le cas où un objet supprimé est utilisé fréquemment.
Il est alors possible de lui créer un raccourci, placé sur le bureau pour une utilisation au besoin.

Relancez HijackThis,
• Appuyer sur [Do a scan system only]
• Fermer les navigateurs et autre applications,
• Cochez tout les lignes suivantes et appuyer sur [Fix Checked] 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://google.cherche.us/
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O15 - Trusted Zone: *.chat-land.org
_______________________________________________________________________

Mettez à jours..
Java : https://www.java.com/fr/download/manual.jsp
Adobe reader : https://get2.adobe.com/reader/otherversions/

Faites les mise à jours logiciels proposées par Sumo Lite et/ou Secunia.
Sumo Lite : http://www.logiciel-freeware.net/wfdownloads-singlefile.cid-94-lid-527.htm
Secunia : https://www.commentcamarche.net/telecharger/securite/19879-secunia-personal-software-inspector/

&#9658;À utiliser/vérifier aux 30jours.

Important pour prévenir les failles de sécurités des logiciels ayant accès à Internet.

_______________________________________________________________________

Optimisation (suite).
Modification du chargement de processus.
Qui ne seront chargés que lorsque leurs programmes seront lancés !

• Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller le contenu des lignes (sc....) suivantes dans le Bloc-Note,
• Dans le bloc-note sélectionner -> Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous Mod_Srv.Bat (sur le bureau)
• Double-cliquer sur le fichier Mod_Srv.Bat 

sc stop "Apple Mobile Device"
sc config "Apple Mobile Device" start= demand
sc stop "FLEXnet Licensing Service"
sc config "FLEXnet Licensing Service" start= demand
sc stop "iPod Service"
sc config "iPod Service" start= demand
sc stop LVPrcSrv
sc config LVPrcSrv start= demand
sc stop "NMIndexingService"
sc config "NMIndexingService" start= demand
sc stop PnkBstrA
sc config PnkBstrA start= demand
sc stop ServiceLayer
sc config ServiceLayer start= demand
sc stop JavaQuickStarterService
sc config JavaQuickStarterService start= demand

Infecté par virtumonde aidez moi svp

36 réponses

Discussions similaires

Newsletters