Comment supprimer virut [Fermé]

Signaler
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
-
 mjl3 -
Bonjour,

Mon pc est infecté par virut. Au départ je croyais que cela provenait du cd d'installation de nvidia fourni avec la carte mère puisque ça réapparaissait après formatage. J'ai ensuite consulté ce forum et appris que le formatage ne suffisait pas à supprimer virut.
Je viens de réinstaller windows donc à priori le virus ne s'est pas encore trop répandu. Comment puis-je vacciner mon pc pour rendre virut inactif?
Merci

PS: j'ai déjà utilisé killdisk, ça semblait mieux jusqu'à ce que j'effectue des mises à jour windows... Et comme la version gratuite ne permet qu'un passage, je ne pleux plus l'utiliser.
Dr web cure it a déjà trouvé un virus, mais ce n'est pas virut à priori.

25 réponses

Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Salut,

J'ai suivi les différentes étapes que tu m'as indiquées, c'était très clair et bien détaillé!
Merci beaucoup ;)
Ça m'encourage à aider les internautes.

================================================

~~> Fixer les lignes :

▶ Lance Hijackthis ( ou ce fichier : )

▶ Choisis " Do a system scan only "

▶ Coche ces lignes sur leurs gauche : (et uniquement celles ci !!)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

▶ Clique sur " FIX CHECKED " et valide au message d'avertissement.

Redémarre ton PC .

Tutoriel , Fixer les lignes avec Hijackthis


================================================

► Nettoyage :

• Passe une fois tout les deux jours un coup de nettoyage avec ATF-Cleaner, puis CCleaner.

• Passe une fois tous les 15 jours une défragmentation.


Logiciels de protection :

⇒ Antivirus:

• Tu peux garder Antivir.

⇒ Anti-spyware:

• Télécharge et Installe Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »).
• Télécharge et installe Spyware Guard et garde le sur ton PC.
• Garde Malwarebytes en complément.

⇒ Firewall:

• Désactive le firewall de windows , car il ne vaut rien :
Sous XP
Sous Vista

• Garde Jetico.

⇒ Navigateur:

• Pour naviguer sur internet plus en sécurité , je te conseille vivement d’installer et utiliser le navigateur Firefox (MAIS GARDE INTERNET EXPLORER POUR LES MISES A JOURS). Une fois que c'est fait, lance le et installe les trois extensions de sécurité suivantes :
WOT : pour se protéger des sites malveillants.
Tuto

No Script
Tutoriel et test No Script

Adblock Plus , Pour bloquer les pubs.
Tutoriel d'utilisation


Surveillance :

• Fais un scan avec ton antivirus a chaque fin de semaine (mets le à jour avant de lancer le scan)

• Mets a jour régulièrement Malwarebytes', fais un scan rapide a chaque semaine.

• Mets a jour régulièrement Windows, vérifie que les mises a jours automatiques sont bien activés :
› Démarrer > Panneau de configuration
choisis l'icône Windows Update, coche la case Mise à jour automatique. Ainsi, Windows et les autres produits de Microsoft comme Internet Explorer, Windows Defender, Windows Media Player etc...

• Mets a jour régulièrement Java, adobe reader, comme expliqué

• Utilise régulièrement Update checker comme expliqué.

• Fais régulièrement une sauvegarde de donnés sur un support externe; ça peut être utile au cas où le système plante.


► Prévention:
Je t'invite à lire ces articles pour éviter une ré-infection au futur: [30 Minutes de lecture très instructive]

Sécuriser son ordinateur et connaitre les menaces (Merci Malekal)

Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)


Voila, bonne lecture et une fois tous ceci fait et lu tu peux mettre le topic comme résolu.

Bon surf et soit plus vigilent(e) a l'avenir ! ;)

Cordialement Fix.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 83736 internautes nous ont dit merci ce mois-ci


SALUT
UN PEU DE lecture
bon courage
amicalement

________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010

J'ai bien lu tout le dossier sur virut. J'ai déjà lancé dr web cure it, il a trouvé un virus qui est en quarantaine.
On m'indique qu'escan antivirus est corrompu, et un virus est détecté dans rmvirut donc j'ai préféré ne pas les lancer...

Le pc infecté n'est plus connecté à internet, et j'ai déjà désactivé la restauration système.

élécharge cela:utile pour voir ce que peut être l infection et agir ensuite.

=> hidjackthis
installe le normalement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijackthis avec un clique droit sur le raccourci et executer en tant qu administrateur
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse
et colle moi ton rapport dans ta prochaine réponse!

a suivre...tu peux aussi aller =>explication =>pour copier ton log


________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010

Bonsoir,

Voici le rapport obtenu par hijac kthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:48, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\msdrv32.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

télécharge =>malwarebytes


ensuite

sur la page cliques sur Télécharger malwarebite's Anti-Malware
enregistres le sur le bureau
Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
si le pare-feu demande l'autorisation de se connecter pour malwarebite's, acceptes
Une fois la mise à jour terminée,fermes Malwarebytes
redémarre en mode sans échec pour certaines configuration juste avant que le pc démarre il faut tapoter sur la touche F8
pour d'autre c'est F4 ou F1 ou encore F12 regarde tu doit savoir ta config!
une fois en mode sans échec tu double-cliques sur l'icône de Malwarebytes
une fois ouvert rend-toi dans l'onglet, Recherche
Sélectionnes Exécuter un examen complet
Cliques sur Rechercher
Le scan démarre.
A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Cliques sur OK pour poursuivre.
Si des Malware ont été détectés, cliques sur Afficher les résultats
Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
redémarre le pc
une fois redémarré en mode normal double-cliques sur Malwarebytes
rends toi dans l'onglet rapport/log
tu cliques dessus pour l'afficher une fois affiché
tu cliques sur édition en haut du bloc notes,et puis sur sélectionner tous
tu recliques sur édition et puis sur copier tu reviens sur le forum et dans ta réponse
tu me colle ton rapport=>clic droit coller
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Hello

Je me permet d'intervenir pour avancer.

@ forminux1,
MBAM n'est pas efficace en mode sans échec.

UsbFix peux virer l'infection + vacciner les clés USB.

@ mjl3,

Télécharge UsbFix (de C_XX, El Desaparecido, Chimay8)


▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.

Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir

▶ Double clique sur le raccourci UsbFix sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu choisis l'option 2 ( Suppression )

▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.

▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Aide : :
Comment Utiliser UsbFix

=====

▶ Rends sur cette page .

▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .

▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .

▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...

Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^

=====

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

▶ Double-clique sur RSIT.exe afin de le lancer.

▶ Clique sur "Continue" à l'écran "Disclaimer of warranty".

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

⇒ Poste le contenu de log.txt (<= qui sera affiché) ainsi que de info.txt (<= qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés ici : C:\rsit

le nouveau il me les supprime mais tu as raison si il y'a mieux
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors
merci a toi fix200

________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,

Le nouveau il me les supprime mais tu as raison si il y'a mieux
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors

Je connais très bien Virut ;)
mais là, l'infection semble être inactife, mais on va vérifer tkt pas ;)

Merci :)

mjl3, la suite ici: http://www.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut?#6
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010

Bonsoir,

J'ai suivi les manips avec usbfix (et envoyé le rapport), puis rsit.
Voici les rapports de rsit:

info.txt logfile of random's system information tool 1.06 2010-01-29 20:43:07

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI

======System event log======

Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.

Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------



Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 20:43:03
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:06, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,

Poste le rapport UsbFix puis:

Télécharge Dr.Web CureIt sur ton Bureau:


▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

=====

repasse rsit et colle le rapport obtenu.
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010

Voici le rapport usb fix:

############################## | UsbFix V6.082 |

User : mjl (Administrateurs) # AZE-1F4EIXWM9XN
Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:34:46 | 29/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 3200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106

C:\ -> Disque fixe local # 6,83 Go (6,8 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 142,21 Go (139,84 Go free) # NTFS
F:\ -> Disque amovible # 14,9 Go (14,78 Go free) [USB DISK] # FAT32

############################## | Processus actifs |

E:\WINDOWS\System32\smss.exe 540
E:\WINDOWS\system32\csrss.exe 612
E:\WINDOWS\system32\winlogon.exe 636
E:\WINDOWS\system32\services.exe 680
E:\WINDOWS\system32\lsass.exe 692
E:\WINDOWS\system32\svchost.exe 860
E:\WINDOWS\System32\svchost.exe 884
E:\WINDOWS\System32\svchost.exe 960
E:\WINDOWS\system32\logonui.exe 988
E:\WINDOWS\System32\svchost.exe 1032
E:\WINDOWS\system32\spoolsv.exe 1172
E:\Program Files\Avira\AntiVir Desktop\sched.exe 1208
E:\Program Files\Avira\AntiVir Desktop\avguard.exe 1284
E:\WINDOWS\System32\nvsvc32.exe 1324
E:\WINDOWS\system32\userinit.exe 1668
E:\WINDOWS\Explorer.EXE 1712
E:\WINDOWS\System32\wbem\wmiprvse.exe 1976

################## | Elements infectieux |

Supprimé ! E:\WINDOWS\msdrv32.exe

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Driver Setup"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[28/01/2010 19:26|--a------|0] C:\AUTOEXEC.BAT
[28/01/2010 19:23|---hs----|195] C:\boot.ini
[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin
[28/01/2010 19:26|--a------|0] C:\CONFIG.SYS
[28/01/2010 19:26|-rahs----|0] C:\IO.SYS
[28/01/2010 19:26|-rahs----|0] C:\MSDOS.SYS
[28/08/2002 21:08|-rahs----|47580] C:\NTDETECT.COM
[29/08/2002 01:05|-rahs----|235824] C:\ntldr
[?|?|?] E:\pagefile.sys
[29/01/2010 20:35|--a------|2194] E:\UsbFix.txt
[29/01/2010 19:41|--a------|2958] F:\Document.rtf
[29/01/2010 20:28|--a------|1480343] F:\UsbFix.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.


Je lance Dr web cure it.
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Ok,

Le scan va durer longtemps, donc à demain ;)
Je poste juste les logs ce soir car je ne suis pas sûre d'avoir le temps demain.
Merci pour votre aide, ça faisait un moment que l'ordi infecté était inutilisable!

Le scan Dr Web Cure it a trouvé un seul fichier suspect, dans usbfix: tool.prockill.
Comme j'avais lu sur ce site que les antivirus pouvaient détecter "process.exe" d'usbfix, j'ai préféré ne pas mettre le fichier trouvé en quarantaine, ne sachant pas s'il s'agissait de process.exe...

Voici les logs

Dr web cure it:
Kill_P.exe E:\UsbFix\Tools Tool.Prockill



RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 22:17:15
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:16, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\system32\NOTEPAD.EXE
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Salut

Bien dormi? ;)

Le log rsit n'est pas complet, pas grave.


Télécharge MalwareBytes' Anti-Malware (MBAM) .

▶ Double clique sur le fichier téléchargé pour lancer le processus d’installation , choisis "Français" et accepte lorsqu’il te le sera demandé de le mettre a jour.

▶ Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

⇒ Lance MBAM.

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.

Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

==========

Supprime le dossier rsit qui se trouve à la racine de ton disque dur.
Exécute RSIT.exe qui se trouve sur ton bureau et colle les 2 rapports obtenus.

salut les gars je vois que ça avance !
c'est cool fix200
juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
sinon ça va vous avez bien avancée
merci encore à toi fix200
a+l'ami
amicalement...


________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,

juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
Non justement ;)
c'est vrai que c'est bizarre, mais c'est une chose particulière pour ce logiciel.

Cela diminue de son efficacité, regarde ce topic:
http://www.clubic.com/...

sinon ça va vous avez bien avancée
merci encore à toi fix200

Mais de rien, c'est fait avec plaisir :)

mjl3, la suite ici:
http://www.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut?#14

^^

décidement
j'te remercie pour le lien fix200 tu vois moi on ma toujours conseiller mode sans echec comme on à du au début te le conseiller!
mais la je tombe sur le cul j'ai encore fait un scann y'a 2 jour et rien du coup je vais rescanner tu penses
merci a toi fix200
(je s'avais que t'etait l(homme de la situation) lol;)
amicalement
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
Bonjour!

J'ai effectué les analyse avec malwarebytes et rsit, voici les logs:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3662
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

30/01/2010 14:04:25
mbam-log-2010-01-30 (14-04-25).txt

Type de recherche: Examen rapide
Eléments examinés: 98175
Temps écoulé: 2 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



rsit:

info.txt logfile of random's system information tool 1.06 2010-01-30 14:15:17

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"E:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI

======System event log======

Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.

Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:

Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------





Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-30 14:15:13
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:16, on 30/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\nettoyage disque dur\RSIT 2.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

re
ça ma l'air dans la poche tout ça!
bien vu fix200 t'as assuré mon vieux!
content pour lui!
a+ sur le forum
amicalement
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire....  I;-)

 
1 2