Virus BLoodHound Morphine

[invite9fd350e3]

Bonjour a tous !
Ma copine a eu le malheur de prêter son ordinateur portable a une amie, et quand nous l'avons récupéré, une belle surprise nous attendais...

En effet, le pc est infecté par un virus de type "BloodHound Morphine" qui est détecté par Norton AV et qui ouvre une fenêtre "Alerte Virus" sans arrêt mais il n'arrive pas a le supprimer, lequel paralyse bien la machine (envoie des msg via msn, ralenti IE), bref super !

J'ai essayé de le localiser et de le supprimer avec des programmes tels que : Norton AV, Antivir, Spybot Search & Destroy, Ad-Aware, a-squarred mais aucun n'arrive à resoudre le problème

Le virus s'est placé à cet endroit :
C:\Documents and Settings\Clemence\Local Settings\Tempory Internet Files\COntent.IE5\S1MF8DEZ\Xin stall[1].exe

Essayant de résoudre le problème, je suis allé sur différents forum avec des cas similaires, mais malgré différentes explications je n'ai toujours pas de solutions.

J'ai essayé de le supprimer manuellement mais en vain, idem en passant par en mode Sans échec et en lançant les mêmes programmes cités plus haut. Il revient toujours .

Comment éradiquer ce virus ?
Ce virus a-t'il un lien avec "Toolbar888" ? (une personne en parlé dans un autre forum et il me semble que ce pc l'a aussi)

Je vous remercie par avance des réponses que vous pourrez m'apporter.
Si je n'y arrive toujours pas, a part formater, je n'ai plus d'idées ! (Mais bon, le virus aurait vaincu, pas top... )
-----

[invite9bff601c]

Bonjour et bienvenue sur Futura !!

Je te conseille de suivre la procédure de pré-nettoyage d'un pc infecté se trouvant ici

Ensuite poste dans ce sujet les rapports générés.

Pense à bien renommer le log hijackthis en hijackthis.txt

Bonne journée,

Igor

[invite9fd350e3]

Bonjour Igor51 et merci de ta réponse

Pas de pb, je suis ta procédure dès que je peux.
Je viens de lancer un scan avec Avast au boot du pc, en espérant que cette tentative réussira.

Si ce n'est toujours pas le cas, je tenterai avec Hijackthis
(j'en ai déjà entendu parler sur d'autre forum, mais à la fin peu ou pas de réponse jusqu'à présent).

Bonne fin de journée et bonne continuation.

HiRoN

[invite275db609]

Bonjour ...

Suis la procédure pas a pas, sans omettre une ligne ...

Il nous faut les 2 rapports, Ewido et hijackthis en pieces jointes ...

Bonne journée

[A voir en vidéo sur Futura]

[invite9fd350e3]

Re bonjour...

Le scan de Avast au boot du pc, n'a malheuresement pas suffit, il est encore là.
De plus, je viens de voir que sous un "ctrl+alt+suppr", l'icone de IE a changé, ce qui me laisse perplexe...

Aurait'il infecté complètement IE ?

Mais le plus impressionant, reste quand même sous MSN, car il se logue a votre compte a votre insu et envoie un lien a tout vos contacts et se déco dès qu'il a fini !

Je vous envoie sous peu les logs de Ewido et Hijackthis (Ewido en cours de scan).

Encore merci de l'attention que vous portez à mon problème.

HiRoN

[invite275db609]

Mais de rien, quand on peut aider, on le fait volontiers, j'attends les rapports dans la soirée, la je dois bouger, je repasse plus tard ...

@ toute allure

[invite9fd350e3]

Re Re bonjour...

Je viens de finir les scans avec Ewido (en mode sans echec) et Hijackthis (en mode normal).
Je vous joint donc les logs générés par ces 2 programmes.

Si vous trouvez comment éradiquer le virus merci de bien vouloir m'expliquer afin que je comprenne le pourquoi du comment (vu le temps que j'y ai passé dessus, je voudrais bien savoir).

Amicalement...

HiRoN

P.S : Je ne serai pa disponible ce soir, je repasserai demain matin.

[inviteb3c9c6b6]

je crois que tous les gent qui conner l'informatique conner que la prmier anti-virusqui detecter les virus et est Kaspersky alors telecharger cette et je suis sur que tu trouve tous le solution dans cette programm et bon chance


Merci de relire la charte de ce forum qui dit:

Respectez les lecteurs du forum, n'écrivez pas vos messages en style SMS ou phonétique. Utilisez la fonction "prévisualisation" pour vous relire et limiter les fautes d'orthographe.

J'ajouterais que je n'ai strictement rien compris a ton message.
Pour la modération,
yoda1234.

[yoda1234]

Bonjour
attend l'avis de nos spécialistes, mais juste une petite remarque en passant:
Apparement, tu as deux antivirus sur ton PC, ou des traces de noton que tu devras aussi désinstaller.

[umfred]

Je dirais même 3 antivirus: Antivir, Avast et Norton .....

[invite275db609]

Bonsoir a tous

Igor est reparti pour une semaine, je vais donc m'occuper de toi ...

Je dirais même 3 antivirus: Antivir, Avast et Norton .....

Tout a fait exact ...
Il faut imperativement en désinstaller 2 (car énorme risque de conflits et de plantage de machine) ...
Si tu veux désinstaller Norton, voici un lien avec les différentes facons de désinstaller proprement (norton est tres intrusif dans le systeme et dur a déloger) :
http://ipl001.free.fr/IT/IT-Sys-antiSym.html

A propos de ToolBar888, il s'agit bien d'un Adware : http://www.castlecops.com/tk30250-ToolBar888.html

Le probleme a du etre régler par Ewido ...

Fais ce qui suis :

• Cliques sur Démarrer --> Exécuter
• Saisis : Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant:

Code:

France Telecom Routing Table Service

• Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
  puis déroule le Type de Démarrage pour le modifier en Désactivé
• Clique sur Appliquer puis OK

• Lance Hijackthis, choisir Open the Misc.Tools section
  la fenêtre "Configuration" va s'ouvrir
• Clique sur Delete a NT service...
  la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entre dans la zone de dialogue :
  
  FTRTSVC
  
  Note : assures-toi de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
  
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  Clique NO

Toujours dans hijackthis, clique sur Do a System Scan Only et coche les lignes suivantes (si présentes, car certaines lignes ne devraient plus apparaitre) :

R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ario&pf=laptop
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Intern et Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll (file missing)
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.ex e

Ferme toutes les fenetres ouvertes sauf hijackthis et clique sur Fix Checked.

Lance un scan en ligne chez Kaspersky :

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi en plus du rapport kaspersky un nouveau rapport hijackthis ...

Bonne nuitée, et @ bientot

[invite538738d1]

Alors...J'ai le même problème que Hiron (Bloodhound.Morphine - Xinstall) depuis hier soir et j'ai simplement suivi la même procédure ( a l'exception de la dernière partie qui était selon "son" scan.)

J'espère que vou pourrez m'aider.

Comme tu es nouveau je te signale la charte du forum :

La courtoisie est de rigueur sur ce forum : pour une demande de renseignements bonjour et merci devraient être des automatismes.

JPL, modérateur

[invite538738d1]

Désolé pour le manque de courtoisie, je n'avais certainement pas les idées claires à 2h00 AM.

Je salue donc tout le monde

Et j'espère que quelqu'un sera en mesure de me dire quoi faire avec ces logs.

Merci

[invite275db609]

Bonjour cactuar et bienvenue sur Futura-Sciences ...

Il faut que tu te crée un nouveau sujet, ca nous permet de pas tout mélanger ...

@u plaisir de lire tes rapports sur TON propre sujet

Bonne journée