Virus win32 impossible a eradiquer

[ssas_am]

Bonjour,

J'ai un virus (ou peut etre plusieurs d'ailleurs) sur mon ordinateur que je n'arrive pas a eradiquer.
J'ai suivi a peu pres la meme chose que ce qui est indiqué dans la procedure sauf pour AVG car j'ai une connexion excessivement lente et pas reussi a le telecharger.

J'ai mis le nom des virus donnés par avast en piece jointe , je les supprime mais ils reviennent apres 5 minutes a peine (la il n'y en a que 6 mais des fois il y en a plus de 40 (les memes mais ailleurs). J'ai mis le rapport hijackthis en piece jointe.


Merci beaucoup pour votre aide.


(PS : J'ai mis 4 h pour telecharger hijackthis donc si le telechargement de certains logiciel est evitable ca m'arrangerait car ma connexion est devenue tres tres tres lente )

[igor51]

Bonsoir ssas_am et Bienvenue sur Futura !!

Normalment, qu'est-ce que tu as comme connexion internet ? ( 56k, 128k....)

Voici la procédure

---------------------------------------------------------

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Supprime les fichiers en gras suivants :

C:\WINNT\system32\tcpipmon.exe
C:\WINNT\system32\aspi191253.exe
C:\WINNT\logmon.exe
C:\WINNT\system32\baupbatn.dll
C:\WINNT\web\related.htm


Vide ta corbeille !

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Lance Hijackthis, choisis Do a scan only et coche les ligne suivantes :

Code:

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINNT\system32\baupbatn.dll",setvm
O4 - HKLM\..\Run: [LogMonitor] C:\WINNT\logmon.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINNT\system32\aspi191253.exe

Ferme toutes les fenêtes sauf Hijackthis et clique sur Fix Checked


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Redémarre en mode normal.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Je sais que tu as une connexion faible, mais il est indispensable que tu installes un firewall sinon cela va recommencer sans cesse

Ceux qui suivent sont tous gratuits :

• Zone alarm
  
• kerio
• outpost

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Si tu retrouves une connexion normale, fais, dans la procédure, la partie avec AVG-AS

-------------------------------------------------------

Dans ta prochaine réponse, poste moi un nouveau rapport Hijackthis.

Dis moi s'il ya des améliorations aussi et comment se comporte ta connexion.

Bonne soirée,
Igor

[ssas_am]

Merci pour ton aide Igor, j'ai fait tout ca et recuperé ZoneAlarm.

C'est pas mon ordinateur habituel pour internet mais je pensais qu'il y avait au moins le firewall windows comme sur XP quand je l'ai requisitionné...

Le probleme de connexion n'est pas lié a ca mais a un probleme de ligne dans l'immeuble qu'ils reparent (ca fait 3 mois mais bon ...)

Le rapport est en piece jointe, je ne sais pas si tout est correct maintenant , il y a un truc coché qui est toujours la.


Voila, merci beaucoup,

Sandrine.

[igor51]

Bonsoir ssas_am,

essaye de télécharger SmitfraudFix :


Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les pocessus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport en pièce jointe,

Bonne soirée,
Igor

[ssas_am]

Bonjour,

J'ai fait un nouveau rapport Smitfraudfix, on dirait qu'il n'y a rien.

Zonealarm me dit maintenant que le virus est present dans E:/ mais je n'ai pas acces a ce disque dur , donc si c'est vrai je ne peux rien faire pour le moment ...

Par contre il y a un autre petit souci, je n'arrive pas a éteindre l'ordinateur correctement, a la fermeture il me dit "winlogon a generé des erreurs ..." et il plante puis redemarre. Je peux toujours desactivé le redemarrage apres erreur mais je sais pas si c'est vraiment la bonne solution.

[yoda1234]

Citation:

Posté par ssas_am

Bonjour,

J'ai fait un nouveau rapport Smitfraudfix, on dirait qu'il n'y a rien.

Bonjour,

si il y a encore quelque chose: Ton fichier hosts est corrompu, continu a suivre les instructions d'Igor51.

[igor51]

Bonsoir à tous,

Yoda a raison, ton fichier hosts est corrompu...

J'aimerai bien que tu fasses la partie AVG-AS de la procédure si tu peux.

Sinon fais ceci:

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage;Poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

Bonne soirée,
Igor

[ssas_am]

Bonjour,


J'ai enfin pu faire un scan sur AVG et j'ai aussi fait ce que tu viens de dire avec smitfraudfix... (bonne lecture)

En tout cas vraiment merci Igor, je serais bien embeté sans ton aide.

Mon frere devrait surement rentrer en fin de week end et recuperer son ordinateur, j'aurais voulu que tout soit reparé avant mais la j'en doute , il devra peut etre prendre la suite des operations.

[Cyrrus]

Bonjour ssas_am,

Igor était absent ce WE je prends (brièvement) le relais :

1. Va ici =>

Code:

C:\WINDOWS\system32\drivers\etc

ouvre le fichier hosts (s'il te demande quel programme utiliser, choisis le Bloc Notes).

Remplace son contenu par celui ci :

Code:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x

127.0.0.1       localhost

2. Lance Hijackthis, clique sur "Open the misc tools section", et clique sur "Generate Startup List" (assure toi que les deux cases à coté soit cochées). Sauvegarde le rapport créé.

3.

Citation:

Télécharge (si tu peux)DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
• Un nouveau dossier va être créé , il se nomme DiagHelp
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
• Poste le rapport qui s'ouvre dans ton prochain post en pièces jointes.

4. Poste moi les rapports :

• Startup List
• Diaghelp

Bonne soirée
Cyrrus

[ssas_am]

Bonsoir ,

Merci d'avoir pris la releve Cyrrus , je me sentais un peu perdue ... J'ai l'impression que ca ne s'arrange pas vraiment toute cette histoire malgré vos efforts et les miens...

il m'a pas demandé de redemarage pour DiagHelp, les rapports sont en piece jointe.


Bonne soirée


Sandrine

[Cyrrus]

Bonsoir ssas,

C'est normal que cela n'avance que peu. On est assez limité en moyen du fait de ta connexion, et on a du mal à trouver l'infection.

A ce sujet peux tu nous mettre le(s) nom(s) du/des virus que te trouve Avast ?

Je dois analyser plus en détail les logs que tu m'as donné, mais il montre bien les fichiers infectieux. Le problème est maintenant de savoir s'ils sont tous là.

Pour ton problème de connexion on va voir pour te faire démarrer dans un mode ou les bestioles seraient inactives mais le réseau oui (ce n'est pas forcément possiblr mais si oui tu pourrait télécharger normalement les outils nécéssaires).

Bonne soirée
Cyrrus

[ssas_am]

Je sais pas comment vous arrivez a vous y retrouver avec ces fichiers logs, ca me semble bien compliqué.

Aujourd'hui J'ai une meilleure connexion pour quelques jours car je suis plus au meme endroit donc je pense que c'est plutot lié a la connexion qu'aux bestioles (je peux faire un stock de logiciel en ce moment si c'est necessaire )


Avast detecte toujours le meme virus Win32: Trojan-Gen.
Plus quelques autres trucs toujours dans :C:\...\Temporary Internet Files.

Le fichier hosts je l'ai remis normal vendredi et aujourd'hui il etait encore avec pleins de trucs rajoutés, d'ailleurs il y a 3 fichiers "backuphost" qui ont encore les lignes rajoutées , je me demandais s'il fallait pas les modifier aussi ?

[Cyrrus]

Bonsoir ssas,

On va en profiter :

Citation:

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse en pièces jointes.

Bonne soirée
Cyrrus

[ssas_am]

Me revoila !

Alors j'ai fait ce que cyrrus avait dit mais comme une conne j'ai pas copier le bon truc a la fin.
J'ai essayé de recuperer ce qu'il y avait d'interessant sur le fichier log , j'espere que ca ira ...

Voila j'attends une bonne ame pour me venir en aide maintenant


Sandrine

[Cyrrus]

Bonjour ssas,

Citation:

Alors j'ai fait ce que cyrrus avait dit mais comme une conne j'ai pas copier le bon truc a la fin.

Tout le monde fait des erreurs c'est pas grave. Le log parait quasi complet c'est le principal.

1.

Citation:

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport en pièces jointes situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

2. Refais un rapport avec Diaghelp option1 (les manips sont les mêmes que plus haut).

Bonne journée
Cyrrus

[ssas_am]

Et voila !