Virus amvo.exe
Résolu/Fermé
Pepolino
-
3 juin 2008 à 11:07
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 10 juin 2008 à 19:55
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 10 juin 2008 à 19:55
5 réponses
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
3 juin 2008 à 11:30
3 juin 2008 à 11:30
Bonjour pepolino
Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"
Cette procédure est normalement efficace sur la plupart des vers a supports amovibles, je ne sais pas ce qu'elle donnera pour amvo , sinon, il existe un script vbs qui lui est dédié, mais je préfère tenter tout d'abord cette manip :
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
1) Télécharge
a) Flash Desinfector d'sUBs
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Note :Flash Desinfector est souvent pris a tort comme une nuisance par les anti-virus, rassure le tien s'il se manifeste au téléchargement ou a l'exécution.
b) Outil Mcafee :
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)
c) Outil Symantec :
https://www.broadcom.com/support/security-center
Les 3 sur ton bureau
2) Passe une première fois les 3 fix et redémarre le pc.
Flash Desinfector d'sUBs:
Il suffit de cliquer sur le fichier .exe
Si la clé n'est pas introduite, il sera demandé de la connecter.
L'Outil Mcafee:
Dans le dossier QQPass-RjumpStinger, double clic sur le fichier Stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier Stinger.txt sera alors crée avec le contenu de l'analyse.
Je te conseille de renommer Stinger.txt si tu dois passer une seconde fois l'outil, car le rapport du second passage "écrasera" le premier et donc il sera difficile dans ce cas, de savoir ce qui a été supprimé et corrigé.
L'Outil Symantec:
Sur le bureau, double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions de fichiers/clés registre.
3) Puis redémarre ton PC puis repasse une seconde fois les 3 fix
(afin de t'assurer qu'il n'y a vraiment plus aucunes traces du ver.) et poste les rapports, ainsi qu'un nouveau rapport HijackThis.
@ suivre. (Je serais de retour en soirée)
Note Dans un prochain message, quand on en aura fini avec ce ver, je t'expliquerai comment te prévenir de ces vers afin d'éviter les récidives.
Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"
Cette procédure est normalement efficace sur la plupart des vers a supports amovibles, je ne sais pas ce qu'elle donnera pour amvo , sinon, il existe un script vbs qui lui est dédié, mais je préfère tenter tout d'abord cette manip :
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
1) Télécharge
a) Flash Desinfector d'sUBs
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Note :Flash Desinfector est souvent pris a tort comme une nuisance par les anti-virus, rassure le tien s'il se manifeste au téléchargement ou a l'exécution.
b) Outil Mcafee :
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)
c) Outil Symantec :
https://www.broadcom.com/support/security-center
Les 3 sur ton bureau
2) Passe une première fois les 3 fix et redémarre le pc.
Flash Desinfector d'sUBs:
Il suffit de cliquer sur le fichier .exe
Si la clé n'est pas introduite, il sera demandé de la connecter.
L'Outil Mcafee:
Dans le dossier QQPass-RjumpStinger, double clic sur le fichier Stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier Stinger.txt sera alors crée avec le contenu de l'analyse.
Je te conseille de renommer Stinger.txt si tu dois passer une seconde fois l'outil, car le rapport du second passage "écrasera" le premier et donc il sera difficile dans ce cas, de savoir ce qui a été supprimé et corrigé.
L'Outil Symantec:
Sur le bureau, double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions de fichiers/clés registre.
3) Puis redémarre ton PC puis repasse une seconde fois les 3 fix
(afin de t'assurer qu'il n'y a vraiment plus aucunes traces du ver.) et poste les rapports, ainsi qu'un nouveau rapport HijackThis.
@ suivre. (Je serais de retour en soirée)
Note Dans un prochain message, quand on en aura fini avec ce ver, je t'expliquerai comment te prévenir de ces vers afin d'éviter les récidives.
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
3 juin 2008 à 20:59
3 juin 2008 à 20:59
Bonsoir
C est une bonne chose tout cela .
A lire et a appliquer par la suite Vaccination des clefs usb https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ Merci a Gof
Désactivation autorun par défaut dans Windows et vaccination des clefs usb
Va voir ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ Merci a Gof
* Et fait ceci Désactiver l'autorun par défaut dans Windows Clique sur autorun off.reg
* Puis vaccine tes clefs usb grace a VaccinUSB.exe toujours ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
Puis supprime l outils de Symantec, l outil macaffee, flashdesinfector et vide ta poubelle.
@ suivre ;)
C est une bonne chose tout cela .
A lire et a appliquer par la suite Vaccination des clefs usb https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ Merci a Gof
Désactivation autorun par défaut dans Windows et vaccination des clefs usb
Va voir ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ Merci a Gof
* Et fait ceci Désactiver l'autorun par défaut dans Windows Clique sur autorun off.reg
* Puis vaccine tes clefs usb grace a VaccinUSB.exe toujours ici https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
Puis supprime l outils de Symantec, l outil macaffee, flashdesinfector et vide ta poubelle.
@ suivre ;)
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
4 juin 2008 à 22:10
4 juin 2008 à 22:10
Bonsoir pepollino
Je n avais pas vu ce processus : C:\WINDOWS\TEMP\WY33C2.EXE
Si tu es encore la , fais moi signe, que l on voit cela stp.
Salut.
Je n avais pas vu ce processus : C:\WINDOWS\TEMP\WY33C2.EXE
Si tu es encore la , fais moi signe, que l on voit cela stp.
Salut.
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
5 juin 2008 à 20:04
5 juin 2008 à 20:04
Bonsoir Pepolino
On va essayer cela, ça ne suffira peut être pas ...
1) Télécharge
Télécharge OTMoveIt2 (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
N'y touche pas pour le moment.
2) Redémarre en mode sans échec
Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Ouvre le fichier HTLM sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
3) OTMoveIt (de Old_Timer)
Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste standard List of Files/Folders to be moved.
C:\WINDOWS\TEMP\WY33C2.EXE
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.
4) Rapports
Fais redémarrer ton PC en mode normal puis poste en réponse :
* Le rapport d’OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport HijackThis.
@ suivre
On va essayer cela, ça ne suffira peut être pas ...
1) Télécharge
Télécharge OTMoveIt2 (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
N'y touche pas pour le moment.
2) Redémarre en mode sans échec
Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Ouvre le fichier HTLM sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
3) OTMoveIt (de Old_Timer)
Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste standard List of Files/Folders to be moved.
C:\WINDOWS\TEMP\WY33C2.EXE
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.
4) Rapports
Fais redémarrer ton PC en mode normal puis poste en réponse :
* Le rapport d’OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport HijackThis.
@ suivre
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le sioux
Messages postés
4894
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
6 mars 2023
495
10 juin 2008 à 19:55
10 juin 2008 à 19:55
Bonsoir pepolino
Peux tu juste m'indiquer ce qu'est ce WY33C2.EXE ? Je n'ai pas réussi à trouver quoi que ce soit dessus sur internet.
Inconnu via Google, donc nom aléatoire ...
(cela dit ce fichier est dans les temp)
Salut.
Peux tu juste m'indiquer ce qu'est ce WY33C2.EXE ? Je n'ai pas réussi à trouver quoi que ce soit dessus sur internet.
Inconnu via Google, donc nom aléatoire ...
(cela dit ce fichier est dans les temp)
Salut.
3 juin 2008 à 12:37
Je suis en train d'effectuer les fix...
En lisant un nouveau post, je viens d'apercevoir une solution proposée par quelqu'un :
Aller visiter la page https://www.118712.fr/sortir.html
Pour les autres ordis infectés, cette solution est-elle bonne ?
Ou vaut-il mieux faire un rapport HiJackThis pour chaque cas ?
Je vous tiens au courant quant aux rapports des fixs qui vont arriver.
A plus tard.
Pepolino.
3 juin 2008 à 16:09
J'ai effectué toutes les étapes que tu m'as indiqué et je n'ai plus ce probleme de dossiers cachés que je ne pouvais plus atteindre.
Voici les rapports :
stinger 1 :
McAfee® Stinger Version 3.0.7 built on Oct 17 2006
Copyright © 2006 McAfee, Inc. All Rights Reserved.
Virus data file v1000 created on Oct 20 2006.
Ready to scan for 13 viruses, trojans and variants.
This product is outdated.
Please go to http://vil.nai.com/vil/stinger for an update.
Scan initiated on Tue Jun 03 12:21:41 2008
Number of clean files: 194448
stinger 2 :
McAfee® Stinger Version 3.0.7 built on Oct 17 2006
Copyright © 2006 McAfee, Inc. All Rights Reserved.
Virus data file v1000 created on Oct 20 2006.
Ready to scan for 13 viruses, trojans and variants.
This product is outdated.
Please go to http://vil.nai.com/vil/stinger for an update.
Scan initiated on Tue Jun 03 13:30:31 2008
Number of clean files: 194464
FxRajump1.log :
Symantec W32.Rajump Removal Tool 1.0.0
W32.Rajump has not been found on your computer.
FxRajump2.log :
Symantec W32.Rajump Removal Tool 1.0.0
W32.Rajump has not been found on your computer.
HiJackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:28, on 03/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\WY33C2.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe