Forum Clubic

Besoin d'aide pour éliminer un virus

Bonjour les clubiciens!

Humiliation. En 8 ans d’utilisation de pc, je crois que je viens de me prendre mon 1er virus…

J’explique.
Je sors du mode veille, tout va bien. Y’a Windows Mail, MSN et Firefox.
Je vadrouille sur le net, je commence à etre énervé par mon disque dur qui gratte (je suis sur un pc portable), et je tape “désactivation défragmentation auto vista” sur google (ca peut que être ça vu que j’ai viré l’indexation hier).

Je clique sur le 1er lien, je retourne sur clu² pour lire les news le temps que ca charge, et la, c’est le drame. Entre les onglets et les icones de favoris, j’ai une espèce de banderolle qui apparait quel que soit le site que je visite (j’ai eu le temps de constater ca que sur google et clubic).

Y’a marqué en rouge “18 trojans detected”, blabla, en gros un bon malware pourri.

Sauf que mon disque dur s’est mis à mouliner non stop, le pc réagissait à 2 à l’heure ; j’ai fini par atteindre le bureau pour voir que 100% de ma RAM était bouffée…

Je reboot. Clic droit sur barre des tâches => “Gestionnaire des tâches” apparaît en grisé (wtf?)

2s plus tard, je vois le bouclier rouge en system tray qui me sort un message du style : le service de sécurité ne fonctionne pas.

Je me suis pas posé de questions, j’ai éteint le pc, j’ai sorti mon Live CD Mandriva (merci linux!) et me voila… Désemparé…

Etant donné que je suis sous linux, que me conseillez-vous de faire pour partir à la chasse au virus/malware ??

Mille mercis d’avance pour votre aide :jap:

PS : quand j’ai vu que la banderolle rouge incrustée dans firefox apparaissait dans tous mes onglets, j’ai de suite éteint mon modem pour couper la connexion internet… Je sais pas si ca change quelque chose, mais je le dis quand même :stuck_out_tongue:

Cordialement,
Ov3rSoul

Hi,

Alors ton virus doit se démarrer en même temps que le système, si tu connais bien ta config, surtout sur le msconfig, démarrage… tu peux :

1 - démarrer le pc sous windows
2 - aller ouvrir msconfig - démarrer, executer, msconfig
3 - aller dans les options de démarrage
4 - désactiver ce qui ne va pas - les virus ou toutes applis/processus suspects
5 - appliquer sans redémarrer
6 - aller dans gestionnaire des taches et killer les processus suspects
7 - mettre l’antivirus à jour et lui demander d’analyser au prochain démarrage de windows
8 - aller chercher un antivirus gratuit sur le web et pouvant être mis sur clé usb - Docteur web ou dr web est très bien et léger (le mettre sur clé)
9 - redémarrer le pc pour l’analyse anti-virus, tout supprimer
10 - une fois le windows lancé, refaire une analyse avec docteur web par exemple, si virus, tout supprimer

Déjà tout ca et dis nous ce que ça donne

salut,

merci pour ta réponse :jap:

bon, en fait linux m’a pas trop aidé vu qu’il peut pas ouvrir du NTFS.

J’ai d’abord démarrer en mode sans échec (sans internet), j’ai scanné toute ma partition vista avec avast… ca m’a bouffé 2h en mode minutieux :nexath

bon, il a au moins fait un faux positif en gueulant sur google earth 4.2 portable.exe, mais il m’a chopé une bonne demi douzaine de trucs suspects planqués dans programdata, temp et system32. Quand j’aurai tout résolu, je mettrai les noms, des fois que ca serve!

En ce qui concerne msconfig, c’était tellement évident… merci de me l’avoir rappelé ! (je plaisante pas^^)

Sauf que la chui en mode sans échec (avec internet), et le msconfig n’a rien de suspect. Je pense que je vais démarrer en normal pour trouver le service infectieux, j’espere que je pourrai le faire :S

Petite touche d’ironie : je ne peux pas aller dans le gestionnaire des tâches. Que ca soit en boot normal ou sans échec, le CTRL ALT SUPPR ne m’offre pas l’option, et le clic droit sur barre des tâches me donne un texte grisé. Genre le gestionnaire des tâches, ca existe plus :riva:

2e touche d’ironie : quand entre les 2 modes sans échec j’ai tenté un boot normal, j’ai eu droit à une petite icone rouge en system tray qui ressemble à celle de vista… Elle m’a dit : “PC infected, clic here to analyse blabla”. J’ai failli tomber dans le panneau au début :pfff:

Je vous tiens au courant !

PS : quand je lance le service de sécurité, il me dit : “Impossible de démarrer le service Centre de Sécurité”. Merci gars, ca fait plaiz -_-

Par contre le pare feu marche de nouveau, avant j’avais un code erreur 0x6D9

edit : un petit log hijackthis, pour une fois que c’est moi le soumets :stuck_out_tongue:
Si quelqu’un voit qqchose de flagrant, merci…

Running processes:                                                                                                                                                                             
C:\Windows\Explorer.EXE                                                                                                                                                                        
C:\Windows\system32\wbem\unsecapp.exe                                                                                                                                                          
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe                                                                                                                                         
C:\Windows\system32\DllHost.exe                                                                                                                                                                
                                                                                                                                                                                               
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [go.microsoft.com...](http://go.microsoft.com/fwlink/?LinkId=54896)                                                                                 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [www.dartybox.com...](http://www.dartybox.com)                                                                                                       
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [www.asus.com...](http://www.asus.com)                                                                                                     
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [go.microsoft.com...](http://go.microsoft.com/fwlink/?LinkId=54896)                                                                          
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [go.microsoft.com...](http://go.microsoft.com/fwlink/?LinkId=54896)                                                                                 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [go.microsoft.com...](http://go.microsoft.com/fwlink/?LinkId=69157)                                                                                  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =                                                                                                                        
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =                                                                                                                        
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =                                                                                                                       
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll                                                         
O1 - Hosts: ::1 localhost                                                                                                                                                                      
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll                                                 
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll                                             
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)                                                                                                                       
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll                                                                             
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll                       
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)                                                                                                                   
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide                                                                                                         
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe                                                                                                                     
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe                                                                                                                             
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet                                                                                        
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe                                                                                                                                                      
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE                                                                                                                         
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart                                                                                                                
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup                                                                                                           
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit                                                                                                  
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe                                                                                                                                             
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun                                                                                                              
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"                                                                                                                    
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe                                                                                                                                     
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')                                                                              
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')                                                                             
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe                                                                                                   
O4 - Global Startup: VPN Client.lnk = ?                                                                                                                                                        
O8 - Extra context menu item: E&xport to Microsoft Excel - [C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE...](res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000)                                                                                  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll                                                                          
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll                                                       
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll                                                        
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL                                                                              
O13 - Gopher Prefix:                                                                                                                                                                           
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL                                                                                   
O18 - Protocol: trevi - {080864F8-AFAD-11D2-BD71-00105A48D188} - (no file)                                                                                                                     
O20 - AppInit_DLLs: APSHook.dll                                                                                                                                                                
O23 - Service: AdeonaClientService - Unknown owner - C:\Program Files\Adeona\cygrunsrv.exe                                                                                                     
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe                                                                                         
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe                                                                  
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe                                                                                         
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe                                                                                          
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe                                                                                      
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe                                                                                       
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe                                                                
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe                                                            
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe                                                                                     
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe                                                                                     
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe                                                                                                                     
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe                                                       
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe                                                                                              
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe                                          
O23 - Service: wampapache - Apache Software Foundation - C:\Program Files\Wamp Server\bin\apache\apache2.2.10\bin\httpd.exe                                                                    
O23 - Service: wampmysqld - Unknown owner - C:\Program Files\Wamp Server\bin\mysql\mysql5.1.30\bin\mysqld.exe                                                                                  
                                                                                                                                                                                               
--                                                                                                                                                                                             
End of file - 6508 bytes        

Edité le 23/03/2009 à 19:18

Salut,
Essaye ça :wink:

merci pour le lien du live cd :jap:
j’ai plus qu’a graver et tester…

en attendant, les news :

infecté, et en bootant normalement, le pc ne freeze plus.

  1. impossible d’accéder au gestionnaire des tâches via barre des taches ou ctrl alt suppr
  2. impossible de lancer le centre de sécurité ou de mettre à jour ws defender (erreur 0x80070422)
  3. une icone en system tray me dit toutes les 30sec que le pc est infecté et que je dois lancer un antispyware (lol, bande de connards)

Quand je clique sur cette icone, il m’ouvre firefox et tente d’accéder à ce site (j’étais déconnecté) :

Je vous conseille pas de cliquer dessus… Je sais meme pas comment ce virus est rentré sur mon pc :paf: pas par la porte d’entrée en tout cas!

et 4. dans mscfonig, j’ai trouvé le processus douteux : “frmwrk32.exe”. D’après google (recherche à l’arrache), c’est bien un truc foireux. Sauf que je l’ai décoché et après reboot j’ai toujours mes problèmes, excepté l’icone en system tray qui me demande d’aller sur le site à la con.

Je vais tenter le cd bootable :wink:

je plusois :slight_smile:

VICTOIRE !
dédicace en forme de gros bras d’honneur aux tocards qui ont rien d’autre à foutre que balancer à tout va des troyens de merde. J’espère qu’ils seront réincarnés en huître.

Bon, j’ai pas utilisé le cd bootable en fait :stuck_out_tongue: Trop paresseux à l’idée de graver et lancer des analyses de 2h. Ca aurait pu etre une solution on va dire, je la garde sous la main pour plus tard en tout cas :wink:

J’ai trouvé la réponse au problème ici :
www.bleepingcomputer.com…

J’ai pas eu besoin de faire toutes les démarches, je me suis contenté d’utiliser GooredFix et ComboFix.
Pour ComboFix j’ai flippé, j’ai eu droit à 2 écrans bleus successifs, j’ai cru le pc arriverait plus à lancer windows O_o
En fait au 2e reboot c’était bon.

J’ai de nouveau accès au gestionnaire des tâches,
Le centre de sécurité marche de nouveau,
Pareil pour les mises à jour de ws defender =)

Merci à vous pour le coup de main, j’espère que mes problèmes s’arreteront la !

edit : putain je reve, quand je vais à la racine du site web vers lequel j’étais redirigé par l’icone du virus, ca propose d’acheter leur merde à 70 $… Complètement hallucinant… Et dire que ces connards se font de la thune sur les pauvres gens qui ont pas les moyens ou les compétences de lutter contre cette chierie :riva: Je vais voir si y’a moyen de dénoncer ça…
Edité le 23/03/2009 à 20:48

Hi,

Content pour toi que tu aies pu te débarrasser de cette M!#@e

Maintenant y’a plus qu’a plus se faire avoir, pense quand même a garder les live cd, avoir un antivirus sur clé usb et tenir avast à jour, tu as aussi la solution de faire un antivirus en ligne avec le site www.secuser.com.

Perso, je me suis installé norton ghost sur le poste et j’ai fais une image de mon système au cas où, on ne sait jamais, je te conseille la même chose si ce n’est déjà fait.

Content de voir que tout va mieux :wink: