Posez votre question Signaler

Virus persistant [Résolu]

Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription - Dernière réponse le 4 sept. 2009 à 02:12
Bonjour tout le monde,
J'imagine que vous etes en permanance innondés de messages d'aide concernant les virus, désolé donc d'en rajouter une couche, mais voila malgré 2 semaines de tentatives via google et un tas de forum pour virer mes infections, je jette l'eponge et me tourne vers vous pour un ultime essai avant de carrément racheter un disque dur...
En gros, j'ai laissé mon pc (fixe) a un ami pendant 2 semaines de vacs, et a mon retour il etait totalement vérolé. J'ai réussit a virer la plupart des infections, mais une persiste, et meme avec Malwarbyte, Smitfraudfix, Spybot... impossible de le virer. En plus de faire planter pas mal d'appli (sans que ce soit excessivement genant mais bon), une appli i explorer se lance intempestivement dans le task manager (impossible de stopper le processus, il se relance direct), et a chaque reboot ou presque, 3 icones de site porno pop up sur le bureau (on se demande bien ou mon abruti d'ami a chopé tout ca...)
Bref, voici le log HijackThis ;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:57, on 9/1/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Chat\Downloads\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [10331] C:\Windows\TEMP\VRTFDA.tmp.exe
O4 - HKLM\..\Run: [RegistryWm] C:\Windows\system32\qtwm.exe
O4 - HKLM\..\Run: [autoupd.exe] C:\Windows\system32\autoupd.exe
O4 - HKLM\..\RunOnce: [áN@] áN@
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [reader_s] C:\Users\Chat\reader_s.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Windows\system32\config\systemprofile\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Windows\system32\config\systemprofile\reader_s.exe (User 'Default user')
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SecureSrv - My Privacy Tools, Inc. - C:\Program Files\Hide My IP 2009\SecureSrv.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\Windows\system32\sofatnet.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe
Lire la suite 

Virus persistant »

Suggestions
Plus
16 réponses
Réponse
+0
moins plus
Trying2 7211Messages postés 13 juillet 2008Date d'inscription 16 mai 2012Dernière intervention 1 sept. 2009 à 19:55
Hello,

Deux semaines...

Condoléances, désolé.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 1 sept. 2009 à 20:00
Y'a vraiment aucun moyen de virer ce truc proprement ?

Et un reformatage, ca marcherait ? :/

 Ajouter un commentaire
Trying2- 1 sept. 2009 à 20:06
Tu peux en un premier temps tenter la panoplie DrWEB, Avptool.
Je te conseille de télécharger ce qu'il te faut, puis de te déconnecter d'internet et de désactiver la restauration système avant de commencer les scans.

Si cela échouait, jette un oeil à la fin de l'astuce.

Un formatage avec KillDisk et ton pc sera clean.
Ne sauvegarde aucun fichier exécutable, sinon tu te réinfecteras.
Ajouter un commentaire
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 1 sept. 2009 à 20:05
Bonsoir Monsieur Chat

(on se demande bien ou mon abruti d'ami a chopé tout ca...)

Malheureusement vous n 'allez plus être pote tres longtemps....

O4 - HKCU\..\Run: [reader_s] C:\Users\Chat\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Windows\system32\config\systemprofile\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Windows\system32\config\systemprofile\reader_s.exe (User 'Default user')

Cela sent très fort viruT....
a+


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 1 sept. 2009 à 20:09
Bon...

Avant de faire un reformatage integral et de perdre toutes mes precieuses données, est-ce que je pourrais au moins savoir où ce genre d'infections se choppent, histoire de mettre mon pote au pied du mur ? è_é

De meme, quels sont les risques (réels) de laisser ce genre d'infections sur son pc ?

 Ajouter un commentaire
Trying2- 1 sept. 2009 à 20:11
Tout (les questions et les réponses) est indiqué quand tu cliques sur le mot "condoléances" dans mon premier message.



Tu peux sauvegarder tes données (photos/documents textes/vidéos) mais pas de fichiers exécutables.
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 1 sept. 2009 à 20:21
Je n'ai malheureusement pas d'espace de stockage suffisant pour sauvegarder tous mes docs importants... Je suis etudiant en animation numérique et photographe amateur, par conscéquant je dois bien avoir quelques 40G (sans compter ma musique et mes films) de données très importantes a mes yeux... Et si j'ai bien compris, utiliser un periphérique de type clé usb ou disque externe l'exposerait lui aussi a une infection >_>

Ai-je une bonne chance de supprimer virut via les logiciels spécifiés dans le tutorial ? L'infection est elle vraiment gravement propagée ? :/

 Ajouter un commentaire
Trying2- 1 sept. 2009 à 20:34
J'ai pas l'impression que tu aies tout lu^^.


Musique et films téléchargés sur le P2P?
Virut se choppe sur le P2P.
J'espère que tes programmes d'infographie proviennent de CD conformes car là pareil:
P2P-->Logiciels crackés-->infections.

Met toutes tes données à l'abri.
Tu zippes tout ce que tu souhaites et tu l'uploades ici. (jusqu'à 10 Go par dossiers).

Ensuite tu fais ceci.


Coucou Archet9,

reformatage sans rien conserver...

Si il peut sauvegarder tout types de fichiers sauf ceux comportant les extensions détaillées ici.
Ajouter un commentaire
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 1 sept. 2009 à 20:23
Hello Trying2

Salut à toi au passage.....
==> reformatage sans rien conserver...

a+

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 1 sept. 2009 à 20:46
Exact Trying2, j'avais zappé une réponse...

Bon, bah Dr Web tourne, je croise les doigts, on verra bien si ca continue... L'avantage, c'est que tous les trojans et autre malware, je les supprime régulièrement et du coup, a part virut, je trouve peu d'infections sur l'ordi et les supprime immediatement quand ca arrive. Donc j'ai bon espoir qu'aucun keylogger ou autre saloperie se soit réellement implanté.
Pour mes films, ce sont des amis qui me les file, ou bien mes propres dvd que je rippe. Ma musique est entièrement enregistrée via mes propres CDs. Quand a mes logiciels de 3d, ce sont des cracks fournis par l'école (un etudiant de 18 ans n'a certainement pas les moyens de se payer Maya, 3Ds Max et Photoshop !)
Mais bon, de toutes facon y'a plein de possibilités concernant l'origine du virus, mon pote a très bien pu dl des trucs via Vuze (le seul logiviel p2p que j'ai et que je n'utilisais d'ailleurs que pour des packs de brushs photoshop), ou bien en surfant sur du pr0n... Bref, je tiendrais au courant de l'evolution via Dr Web et AVP, si ca marche ca pourrait etre utile a d'autres personnes, qui sait.

Sinon, bah comme vous dites, reformatage clean.

 Ajouter un commentaire
Trying2- 1 sept. 2009 à 21:01
Tu as bien compris le système des extensions pour faire le tri dans les sauvegardes?


Donc j'ai bon espoir qu'aucun keylogger ou autre saloperie se soit réellement implanté.

Je crois que tu n'as pas encore bien lu l'astuce :)
Il faudra que tu changes tous tes mots de passe quand ton pc sera clean.


N'hésite pas à poster les rapports pour contrôler.

Tu as bien désactiver la restauration système?
Coupé l'accès au net de ce pc?
Je te conseille aussi l'install d'un bon firewall si tu n'en as pas afin de filtrer les connexions sortantes.
Ajouter un commentaire
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 1 sept. 2009 à 20:47
Ok Trying2

Je suis etudiant en animation numérique et photographe amateur, par conscéquant je dois bien avoir quelques 40G (sans compter ma musique et mes films) de données très importantes a mes yeux.

==> s'il peut faire le tri ok ...mais j'en doute !

Bien à vous....

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 4 sept. 2009 à 01:32
Petit bump, simplement pour dire que, malgré la gravité et la propagation de l'infection, j'ai réussit a la bousiller grace a l'aide d'un des membres du site Malekal.com, et du dossier publié dessus sur le sujet; http://forum.malekal.com/virut-aka-virtob-infection-fichiers-executables-t5177.html

L'outil Combofix et le logiciel Dr Web CureIt ont été les principaux acteurs de la desinfection. J'espère que d'autres internautes infectés pourront trouver ce thread, comme quoi rien n'est désespéré =)

Merci tout de même pour votre attention, bonne continuation pour le site !

 Ajouter un commentaire
Trying2- 4 sept. 2009 à 01:38
Hello Monsieur Chat,

Sympa que tu repasses, je parlais de toi aujourd'hui^^

La méthode de Malekal est identique à celle qu'on t'avait proposée.

Si tu veux qu'on vérifie ensemble que tout est clean:


- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
Ajouter un commentaire
Réponse
+0
moins plus
Monsieur Chat 7Messages postés 1 septembre 2009Date d'inscription 4 sept. 2009 à 02:06
Merci mais ca devrait aller, j'ai vérifié 2 fois avec Melakal avec entre autre HiJackThis, et désinstallé tous les logiciels utilisés dans la manoeuvre, l'ordi est bien clean et ca se voit. J'ai chopé Avira Antivir pour garder un oeil sur la sécurité a l'avenir. Et je ne laisserais plus mon pc a quiconque sans que je sois a moins d'un mètre x)

 Ajouter un commentaire
Trying2- 4 sept. 2009 à 02:12
Super, si Malekal en personne t'as filé un coup de main, tu dois avoir l'esprit tranquille.

En tous cas merci d'être repassé.

Bye.
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus persistant » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?