speedy,puta!,natal,brasil,alevir,instit,marcoFermé

Question

Bonjour,

Avast y a été installé trop tard ou n'était pas résident quand ils sont entrés dans ce PC sous Windows98 2ème Edition!.
Ce sont 10 fichiers (inutiles) qui sont infectés par le virus "W32.Opaserv.Worm" avec ses variantes AD, AE, G, H et E.
Même BitDefender On Line, qui les trouve et les supprime aisément, n'empêche pas leur réapparition immédiate, sitôt qu'il se termine.
J'aide la personne concernée par ce problème grace à une prise de contrôle à distance de son poste (par UltraVNC). Ses connaissances en informatique sont d'un niveau inférieur aux miennes en sanscrit de type mayarana!... Je ne l'imagine pas un instant capable de téléchargements de softs sur Internet ou d' "éditer un rapport"

Sans doute la solution est-elle différente pour ces virus qu'un (ou des) fichier(s) caché(s) re-génère(nt) !
Je suis à sa recherche et sollicite l'aide de personnes ayant été confrontées à ce problème (j'ai vu sur les forums qu'elles sont nombreuses) et qui ont su le résoudre (celles-ci sont trop rares pour que j'en ai trouvées !)

Bien cordialement,
Danydoc.

Utilisateur anonyme · Answer

poste un rapport Hijackthis

Danydoc · Answer

Bonjour Homerjaysimpson,

Merci de votre aide.
J'ai téléchargé puis exécuté HiJackThis.exe sur le PC en Win98 virussé et obtenu le LOG suivant :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:53, on 04/07/08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\NATAL!.PIF
C:\WINDOWS\NATAL.SCR
C:\WINDOWS\PUTA!!.COM
C:\WINDOWS\SPEEDY.PIF
C:\WINDOWS\SPEEDY.BAT
C:\WINDOWS\SPEEDY.SCR
C:\WINDOWS\MARCO!.SCR
C:\WINDOWS\INSTIT.BAT
C:\WINDOWS\ALEVIR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\ESCUBE\AUTOTRANSFERT\AUTOTRANSFERT.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\WINDOWS\SYSTEM\E_S6I0A1.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\OLIFAXVX\TOOLBAR.EXE
C:\PROGRAM FILES\SITECOM WL-168 WIRELESS LAN DRIVER AND UTILITY\RTWLAN.EXE
C:\PROGRAM FILES\HERCULES\WIFI STATION POUR LIVEBOX\WIFISTATIONLB.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\CROSSLOOP\CROSSLOOPCONNECT.EXE
C:\PROGRAM FILES\CROSSLOOP\WINVNC.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=C:\WINDOWS\BRASIL.PIFc:\windows\Brasil.pif,c:\windows
atal!.pif,c:\windows
atal.scr,c:\windows\puta!!.com,c:\windows\speedy.pif,c:\windows\speedy.bat,c:\windows\speedy.scr,c:\windows\marco!.scr,c:\windows\instit.bat,c:\windows\alevir.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_15\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [eSCube-AutoTransfert] "C:\PROGRAM FILES\ESCUBE\AUTOTRANSFERT\AUTOTRANSFERT.EXE"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EPSON Stylus C62 Seri (Copie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 Seri (Copie 2)" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\SYSTEM\E_S6I0A1.EXE /P23 "EPSON Stylus D68 Series" /O5 "LPT1:" /M "Stylus D68"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [4wd!!!] C:\WINDOWS\Natal!.pif
O4 - HKLM\..\Run: [natal] C:\WINDOWS
atal.scr
O4 - HKLM\..\Run: [Spees3] C:\WINDOWS\Speedy.pif
O4 - HKLM\..\Run: [Spees2] C:\WINDOWS\Speedy.bat
O4 - HKLM\..\Run: [PutAS!] C:\WINDOWS\Puta!!.com
O4 - HKLM\..\Run: [Spees1] C:\WINDOWS\Speedy.scr
O4 - HKLM\..\Run: [cronos] C:\WINDOWS\marco!.scr
O4 - HKLM\..\Run: [instit] C:\WINDOWS\instit.bat
O4 - HKLM\..\Run: [Alevir] C:\WINDOWS\Alevir.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAM FILES\ESCUBE\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: Le Librarian.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE (User 'Default user')
O4 - .DEFAULT Startup: Sitecom WL-168 Wireless LAN Utility.lnk = C:\Program Files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe (User 'Default user')
O4 - .DEFAULT Startup: WiFi Station pour Livebox.lnk = C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Le Librarian.lnk = ?
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Sitecom WL-168 Wireless LAN Utility.lnk = C:\Program Files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe
O4 - Startup: WiFi Station pour Livebox.lnk = C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_15\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_15\BIN\SSV.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

Utilisateur anonyme · Answer

Supprime ces lignes (fix checked)

O4 - HKLM\..\Run: [4wd!!!] C:\WINDOWS\Natal!.pif 
	O4 - HKLM\..\Run: [natal] C:\WINDOWS
atal.scr
	O4 - HKLM\..\Run: [Spees3] C:\WINDOWS\Speedy.pif
	O4 - HKLM\..\Run: [Spees2] C:\WINDOWS\Speedy.bat
	O4 - HKLM\..\Run: [PutAS!] C:\WINDOWS\Puta!!.com
	O4 - HKLM\..\Run: [Spees1] C:\WINDOWS\Speedy.scr
	O4 - HKLM\..\Run: [cronos] C:\WINDOWS\marco!.scr
	O4 - HKLM\..\Run: [instit] C:\WINDOWS\instit.bat
	O4 - HKLM\..\Run: [Alevir] C:\WINDOWS\Alevir.exe

Utilisateur anonyme · Answer

et celle la aussi 

F1 - win.ini: run=C:\WINDOWS\BRASIL.PIFc:\windows\Brasil.pif,c:\windows
atal!.pif,c:\windows\ natal.scr,­c:\windows\puta!!.com,c:\windows\speedy.pif,c:\windows\speedy.bat,c:\ windows\speedy.scr,c:­\windows\marco!.scr,c:\windows\instit.bat,c:\windows\alevi r.exe

Utilisateur anonyme · Answer

C:\WINDOWS\SPEEDY.BAT
C:\WINDOWS\NATAL!.PIF
F1 - win.ini: run=c:\windows\marco!.scr

Utilisateur anonyme · Answer

fixé sa enlevera pas les fichiers ^^

fait un scan en ligne avec internet explore, si tu as firefox fait: 
démarrer -> executer -> tape : iexplore (puis valide) 

(coche toutes les cases à chaque fois) : 
https://www.eset.com/ 

à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt 

si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm

Danydoc · Answer

Bonsoir Dorgane, Bonsoir Homerjaysimpson,

Si ! , je pense que fixer ces virus les fait disparaître... le temps d'un soupir.
Après deux essais successifs de scan et fix par HiJackThis , le résultat m'a paru concluant et j'ai lancé ESET Online (que je ne connaissais pas alors que j'ai acheté Nod32 comme antivirus sur ce PC!!). Il a trouvé et supprimé 10 virus, exactement comme l'avait fait avant lui bitdefender. Avant même d'aller consulter son rapport, un coup d'oeil dans le répertoire Windows m'a montré qu'ils étaient toujours bien là !!

Il y a parmi eux un fichier qui change d'heure en même temps qu'eux : Instit.BAT. Son contenu ressemble fort à du code machine. En tout cas ce n'est pas un fichier de commandes. Ce fichier, dont le nom rappelle celui d'un des fichiers détectés comme virussés, n'est jamais remarqué, ni par AVAST quand il est résident, ni Bitdefender, ni ESET Online. Bien qu'il n'ait que l'attribut "archives" de coché, il est impossible de le supprimer, déplacer, ou renommer. Sans doute son bit d'état le qui le protège comme fichier ouvert. 

Je pense que la supperssion de ce fichier-là est nécessaire et j'aimerais bien la réaliser, même si elle n'est pas suffisante.
Mais comment faire en connexion distante, si le simple fait du démarrage de Windows suffit à ouvrir ce fichier ?

Guider une petite main par téléphone me semble la dernière solution.
Celle dont j'aimerais disposer est celle d'un outil (antivirus ou utilitaire) capable de supprimer en force ce type de fichier résistant.

Si quelqu'un pouvait m'apporter cette solution, je lui en serais infiniment reconnaissant.
Bien cordialement, 
Danydoc

Utilisateur anonyme · Answer

Essaye avec Kaspersky

Danydoc · Answer

Bonjour HomerJaySimpson,

Idem avec Kaspersky,  mais ce n'est pas étonnant : ça fait dix ans que ces virus sont connus et sévissent ! Un antivirus bas de gamme dont la base virale n'a pas été mise à jour depuis le millénaire dernier en bloque l'entrée sans problème.
La solution, c'est un soft capable de supprimer un fichier protégé (cemui qui les re-crée), et pas seulement par des attributs caché ou système mais par une en-tête de fichier positionnée en ouvert.
Je sais que ça existe. Lors d'un déverminage assisté par un technicien de ce forum, j'en ai vu un à l'écran dont un onglet ouvrait une fiche proposant cette fonctionnalité.

Merci encore de votre aide.
Cordialement,
Danydoc

Utilisateur anonyme · Answer

Essaye avec sa :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

Danydoc · Answer

re-Bonjour HomerJaySimpson, 

Je connais bien ce site. Mais je fais quoi avec ?
Si c'est pour m'indiquer Ad-Aware, je le pratique couramment. Je suis passé du 2007 proposé en page d'accueil sur 01net.com à la version 2008 il y a à peu près 3 mois.
Je vais aussi l'essayer, mais que va-t-il faire de mieux que bitdefender, malswaresbite-antimalware, spybot and destroy, ... sur un fichier qui n'est pas un repéré comme un malware et qui n'est pas virussé ?

à +
Cordialement, 
Danydoc

Utilisateur anonyme · Answer

Voila essaye de viré le .bat ac sa http://www.commentcamarche.net/telecharger/telecharger 34055968 fileassassin

Utilisateur anonyme · Answer

N'oublie pas de mettre résolu :)

Danydoc · Answer

Bonsoir HomerJaySimpson;

J'ai terminé cette longue session, mais sans  avoir eu l'opportunité d'inscrire quelque part "résolu" pour mon problème. 
Je viens de recevoir un accusé de réception de clôture. Je crains qu'il ne soit trop tard.
Désolé.
Si je peux rattraper cette erreur, merci de me dire comment.
Bien cordialement,
Danydoc.

Speedy,puta!,natal,brasil,alevir,instit,marco

14 réponses

Discussions similaires

Newsletters