rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Résolu

Probleme virus !!!

Posté par tizio87, le jeudi 3 janvier 2008 à 22:13:17
Bonjour,
au secour mon poste deviens tres fou. Voiçi le rapport que le Logfile of Trend Micro HijackThis v2 ma donner. J'utilise avaste et maintenant que dois-je faire ??????
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:32, on 03/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\newmaxxsv234.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ooVoo\ooVoo.exe
C:\WINDOWS\System32\vedxg6ame4.exe
C:\Windows\xpupdate.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoomail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System3­2\ntos.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\System32\newmaxxsv234.exe
O4 - HKLM\..\Run: [Smart Protector Pro] C:\WINDOWS\vmmreg32.exe
O4 - HKLM\..\Run: [bc737561] rundll32.exe "C:\WINDOWS\System32\itpdhoac.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Magnify] Magnify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Magnify] Magnify.exe (User 'Default user')
O4 - Startup: Magnifier.lnk = C:\WINDOWS\system32\magnify.exe
O4 - Startup: On-Screen Keyboard.lnk = C:\WINDOWS\system32\osk.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O24 - Desktop Component 0: (no name) - http://www.isabella.fr/images/fondpapier.gif
End of file - 4836 bytes
Configuration: Windows XP
Firefox 2.0.0.11
Répondre à tizio87  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
nardino, le jeudi 3 janvier 2008 à 22:20:38
Bonsoir,
Analyse en cours...A tout à l'heure.
@plus
nardino
   
Répondre à nardino

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
lewis34, le jeudi 3 janvier 2008 à 22:26:41
bonsoir rapidement apres je vais au dodo
oovoo c'est un truc à toi?
ca me parait bizzare cette chose?
sinon fixe les ligne sur hitjackiss.
regarde comment ca se passe et si c'est bon supprime le dossier
@+
   
Répondre à lewis34

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
nardino, le jeudi 3 janvier 2008 à 22:53:59
Bonjour.

Cette procédure sera effectuée en mode sans échec pour la majeure partie.
Je te conseille :
-Ou de l'imprimer et de cocher les actions effectuées au fur et à mesure.
-Ou de l'enregistrer sur le bureau avec le blocnote sous "Procédure.txt" par exemple, afin de pouvoir le consulter.

**A télécharger et installer**

-"ATF-Cleaner" de A-Tribune: http://www.atribune.org/content/view/25/1/
Crée un dossier ATF-Cleaner pour mettre le fichier exe, ce programme ne nécessite pas d'installation.
-"OTMoveIt " : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Sur ton bureau.
-"AVG Antispyware" : http://www.ewido.net/en/download/
Installe-le.
Tu ouvres AVG AntiSpyware et tu le mets à jour par le bouton [i]Mise à jour[/i] en haut à gauche, et [i]Commencer la mise à jour[/i].
Puis choisis le bouton "Analyse".
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique gauche sur "Actions recommandées" et choisis "Quarantaine"
Coche "Générer un rapport après chaque analyse".
Quitte-le pour le moment.
-"Antivir" de Avira : http://www.free-av.com/
Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système.
Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.
http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.
Mets-le à jour et referme-le.

**Envoi de fichiers pour recherche antivirus**

Clique sur ce lien:
http://secubox.gateweb.org/mad.php

Sur la page d'accueil, clique sur Parcourir, tu pointes vers ces fichiers à tour de rôle et tu les envoies un par un en précisant que cela
t'a été demandé par la personne qui t'aide en précisant sur quel forum.
Les fichiers à envoyer:

C:\WINDOWS\System32\itpdhoac.dll
C:\WINDOWS\System32\vedxg6ame4.exe
C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe

Il faudra peut-être que tu autorises la vue des fichiers cachés pour ce faire.
Dans une fenêtre de l'explorateur Windows, Outils, Options des dossiers, Onglet Affichage:
Tu coches
-Afficher les dossiers et fichiers cachés
Tu décoches
-Cacher les extensions des fichiers dont le type est connu.
-Masquer les fichiers protégés du système d'exploitation.
"Cette dernière ligne pourra être recochée à la fin du nettoyage, par mesure de sécurité."
Une fois fait, clique sur "Appliquer".

**Démarrage en mode sans échec**

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter) une fois surligné.
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
"Il faut choisir la même session que celle qui est infectée et non pas la sesssion Administrateur qui n'apparaît que sous ce mode."

**Nettoyage des fichiers temporaires**

Ouvre ATF-Cleaner
Clique sur "Select All" et sur le bouton "Empty selected", puis "OK" dans le popup "Done" qui s'ouvrira quelques secondes plus tard.
Si tu utilises "Firefox" et/ou "Opéra", clique en haut et renouvelle le nettoyage en refusant d'effacer les mots de passe quand cela te sera demandé.
Puis "Quit".

**Hijackthis**

Tu lances Hijackthis par le bouton "Scanner seulement/Scan only", selon la version et tu coches:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System3­2\ntos.exe,
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\System32\newmaxxsv234.exe
O4 - HKLM\..\Run: [Smart Protector Pro] C:\WINDOWS\vmmreg32.exe
O4 - HKLM\..\Run: [bc737561] rundll32.exe "C:\WINDOWS\System32\itpdhoac.dll",b
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: On-Screen Keyboard.lnk = C:\WINDOWS\system32\osk.exe

Tu cliques sur "Fixer objet/Fix checked" et tu refermes Hijackthis.

**Nettoyage**

Utilise OTMoveIt.
Pour cela ouvre-le, copie et colle la liste ci-dessous dans le volet de gauche et clique sur "MoveIt!" pour lancer la suppression.

C:\WINDOWS\System32\dllgh8jkd1q6.exe
C:\WINDOWS\System32\dllgh8jkd1q7.exe
C:\WINDOWS\System32\dllgh8jkd1q5.exe
C:\WINDOWS\System32\ntos.exe
C:\WINDOWS\System32\kernelwind32.exe
C:\WINDOWS\System32\newmaxxsv234.exe
C:\WINDOWS\System32\itpdhoac.dll
C:\WINDOWS\System32\vedxg6ame4.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\vmmreg32.exe

Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas attends la fin de la procédure pour redémarrer.

**Scan anti-malwares et anti-troyens**

Lance AVG Antispyware.
Tu choisis dans Analyse : "Analyse complète du système".
Puis quand le scan est terminé, tu choisis Appliquer les actions, bouton en bas à gauche.
Tu sauves le rapport pour le poster plus tard.

Lance Antivir, tu cliques sur l'icône du bureau pour le lancer.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
A la première alerte :
Tu choisis "Moved to quarantine" à la première alerte et tu coches la case "Apply selection to the all following detections".
Quand le scan est terminé, tu clique sur End.

**Redémarrage en mode normal**

Poste les rapports AVG AntiSpyware, OTMoveIt, Antivir et un nouveau log Hijackthis établi en mode normal.
Donne des infos sur l'évolution de la situation et les problèmes éventuellement rencontrés lors de la procédure.

**Mises à jour à effectuer**

-Acrobat Reader :
http://www.adobe.com/fr/products/acrobat/readstep2.html
Décoche Téléchargez également :Adobe Photoshop® Album Édition
Par Ajout/Suppression des programmes, désinstalle toutes les autres versions.

**Conseil**

Installe un pare-feu:

http://www.pctools.com/fr/firewall/

ou

http://www.sunbelt-software.com/Kerio-Download.cfm

@+
@plus
nardino
   
Répondre à nardino

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
tizio87, le jeudi 3 janvier 2008 à 22:54:12
oui oovoo est un truc de messagerie instantanée come msn ou yahoo messenger. Que faire?
   
Répondre à tizio87

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 tizio87, le jeudi 3 janvier 2008 à 22:56:30
bonsoir nardino, j'essaye puis je te faire le compte rendu. Merçi encore et bonne nuit.
   
Répondre à tizio87
Posez votre question Répondre
Discussions pertinentes trouvées dans le forum
25/07 16h35Virus danger10
25/07 10h34Virus alert! et win32:vapsup-EB12
25/07 01h25Virus adware generic.3HUM15
24/07 21h48Virus alerte HELP17
24/07 16h05Virus analyse avast3
Plus de discussions sur « Pas de virus ? »
Logiciels pertinents trouvés dans les téléchargements
Télécharger avast! Virus Cleaner 1.0.211avast! Virus Cleaner - Tout le monde connaît l' antivirus gratuit Avast . Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus...Catégorie: Antivirus
Licence: Freeware/gratuit
Télécharger Avast! 4 Familial 4.8.1229Avast! 4 Familial - Avast! 4 Home Edition est un antivirus complet prévu pour les utilisateurs personnels et un usage non commercial. Le...Catégorie: Antivirus
Licence: Freeware/gratuit
Télécharger AVG Antivirus Free Edition 8.0AVG Antivirus Free Edition - AVG est un antivirus gratuit et performant reconnu pour les mises à jour régulières de sa base de données antivirale ! Il...Catégorie: Antivirus
Licence: Freeware/gratuit
Télécharger AVG Anti-spyware 7.5.1.43AVG Anti-spyware - AVG Anti-spyware (ex Ewido) est un logiciel anti-spyware qui vous permettra de nettoyer votre PC sous Windows. En...Catégorie: Anti-Spyware
Licence: Freeware/gratuit
Plus de logiciels gratuits sur « Pas de virus ? »