Forum Clubic

Merde un virus - supprime mes fichiers dans scan disc

salut a tous alors voila j’ai un gros soucis, un virus, ca fais un momment que mon ordi est un poil en galère mais rien de bien grave, hier il a planté, j’ai fais un reset, scandisc ( jusque la classique ) et le scan commence … tout doucement … et la il commence a me dire que l’accès a certain dossier est illisible et qu’il les suprimes. Je refais un reset pour pas qu’il me vire tout et je passe le scan. ( après vérification il m’aurais bien viré certain fichier )

donc a l’heure actuel, j’ai un scan qui s’éxecute a chaque démarrage, et le virus implanté dans chacun de mes disques/partitions, a en croire le dossier caché nommé “System Volume Information” rempli de fichier “restor…” j’ai beau les supprimé ils reviennents

bref j’arrive pas a trouver un antivirus gratuis qui m’aide a résoudre le probleme, j’aurais bien formater mais comment faire mes sauvegardes puisque tout est infecté ?

si quelqu’un reconnais le virus, ou n’importe quelle idée je prend, ca devient méchant la

merci d’avance

tu a pas d’antivirus ???

j’ai etrust ez antivirus
le pare feu windows
ad aware
et avg

avg ( télécharger après avoir recu le virus ) m’avais signaler 2 fichiers infecté mais la supressions n’y a rien fais

C:\System Volume Information\_restore <-- ce sont tes virus (déjà supprimés) et logés dans la restauration système

tu dois désactiver et réactiver successivement la restauration système pour purger les dates infectées
http://service1.symantec.com/SUPPORT/INTER…020830101856924

sinon tu vas faire péter ton bouzingue :smiley:

moué … j’ai désactivé la restauration système mais ca ne change rien

le dossier système volume information, est toujours présent sur tous mes disques, alors que je l’avais jamais vu

j’ai tjs scandisc au démarage. enfin bref aucun changement

merci d’avoir essayé, j’attend votre aide

:non: normal que le scandisk (tu es sous quel OS ??) s’exécute maintenant à chaque redémarrage, le reset intempestif provoque des erreurs graves, tu vas griller ton disque au final !!

  1. Démarrer>Programmes>Accessoires>Outils système< Nettoyage de disque

  2. faire une vérification approndie** : cocher les 2 cases de correction dans la boîte de dialogue
    Propriétés > sous l’onglet Outils>clique sur le bouton Vérifier maintenant
    [color=red]
    **[/color] Ferme toutes les applications surtout celles contenues dans le systray (à côté de l’horloge)

  3. Démarrer>Programmes>Accessoires>Outils système >> Défragmenteur de disque (ça peut être long si tu ne l’as jamais fait ou pas récemment)

  4. Arrête ton ordi proprement par le bouton "Arrêter" et redémarre à nouveau

voir aussi si ça perdure
Empêchez l’usage de Scandisk suite à un plantage
http://www.pcastuces.com/newsletter/adj/22.htm

Généralités XP
http://www.pcastuces.com/pratique/windows/xp/default.htm

Avant de faire tout ça, tu peux faire un log Hijackthis pour voir si tu as encore des fichiers suspects ou pas ?

Hijackthis 1.99.1
http://www.spywareinfo.com/~merijn/downloads.html

  • Enregistrer/ créer 1 dossier dédié - ex : C: \HijackThis\Hijackthis.exe (racine du lecteur ! pas dans Temporary files!!)
  • Le lancer -> " Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)>>Save log
  • Récupérer ce Log/texte avec le bloc notes.
  • Le copier/coller ici

oki merci pour la démarche je vais m’atter a faire tout ca

pour les rests je c que c’est pas bon, mais que veut-tu … j’allais pas le laisser suprimer mes 3500mp3 et peu etre s’attaquer a d’autre fichiers

sinon je suis sous xp

heu j’ai pas compris pour hijackthis

j’ai lance do a système scan only

ensuite je fais save ? et j’te colle le texte ? ( parceque c’est plutot longuet comme texte )

:oui: tu recopies l’intégralité du log (texte) (la fin du log ce sont les lignes 023) avec le bloc-notes et tu le copies/colles ici

Logfile of HijackThis v1.99.1
Scan saved at 18:41:11, on 21/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hvikclypttwqfyvxkwgshjd.com/_OE…Pc9ThIN3hf.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {18C93E3D-A092-1366-5E20-7E11EE5A2A06} - C:\DOCUME~1\charly\APPLIC~1\SCRBAT~1\Free Cool.exe
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [CaAvTray] “C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe”
O4 - HKLM\…\Run: [CAVRID] “C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe”
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\…\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\…\Run: [eCarteBleue-BP] “C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe” /dontopenmycards
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [About Flap Default Type] C:\Documents and Settings\All Users\Application Data\balm gpl about flap\MOVE ONLINE.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\…\Run: [Defy face] C:\DOCUME~1\charly\APPLIC~1\WARNDR~1\mapi style junk.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l’anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d’impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1132507059296
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD…ap/DigWXMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{C03F8A2C-A16B-455A-92A3-18C48F615437}: NameServer = 212.151.136.242 212.247.156.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Avant de traiter ton log hijack, Va sur le site de Kasper et recherche chaque dossier des lignes 04 dans ta machine et lance l’analyse si tu n’es pas sûr de leurs utilités (à 99% je pense que ce sont des spywares)
Analyser un fichier seul
http://www.kaspersky.com/scanforvirus

Télécharge Ewido
http://www.ewido.net/en/download/
mise à jour du logiciel et envoie-le sur ton Bureau

Télécharge CCleaner
supprime les fichiers Internet Temporaires (Cache) d’Internet Explorer, Cookies, historiques, Index.dat, Corbeille, Fichiers Temporaires, Urls…
http://www.ordi-netfr.com/ccleaner.php

=========== ================== =============== ========

  1. désactive ta restauration système
    Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

  2. passe en mode sans échec
    voir/Touche F8 (ou F5)…
    http://service1.symantec.com/SUPPORT/INTER…020325143456924

=========== =============== ============== ============

A partir d’ici tu es en mode sans échec

1° Lance Ewido et scan - copie/colle la sauvegarde (log texte) du résultat ici

2° Re- Lance Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)

3° fix checked les lignes ci-dessous (fixer, c’est cocher la petite case en face de la ligne)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http$$://www.hvikclypttwqfyvxkwgshjd.com/_OE…Pc9ThIN3hf.html

O2 - BHO: (no name) - {18C93E3D-A092-1366-5E20-7E11EE5A2A06} - C:\DOCUME~1\charly\APPLIC~1\SCRBAT~1\Free Cool.exe <-- DONK.B WORM!
http://www.bleepingcomputer.com/startups/Cool.exe-2966.html

O4 - HKLM\…\Run: [About Flap Default Type] C:\Documents and Settings\All Users\Application Data\balm gpl about flap\MOVE ONLINE.exe <-- ressemble fort à une variante du spyware lop.com - tu reconnais ?

http://securityresponse.symantec.com/avcen…/bat.black.html
http://www.superadblocker.com/P/PROGRAM%20BOOK.EXE-3755.html

O4
- HKCU\…\Run: [Defy face] C:\DOCUME~1\charly\APPLIC~1\WARNDR~1\mapi style junk.exe <-- idem - lop.com suspicion

fixe toutes les 016 (superflues) sauf
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1132507059296

Reboot en mode normal

  • Lance CCleaner, analyse et corrige les erreurs (Windows & Applications) y compris le balayage du regsitre (icône reg) avec sauvegarde à la fin de l’analyse pour cette partie - décoche avant la case Corbeille, il vaut mieux que tu fasses cette opération toujours à la main c’est plus prudent pour récupérer des conneries :paf:
  • Réactive ta restauration système (important)
  • Refait un nouveau log hijack
  • copie colle la sauvegarde Ewido

@+

Tu devrais mettre à jour Spybot et lancer aussi un scan (pas bon du tout la ligne R1 :pfff: )

merci ca m’a l’aire bien détaillé tout ca, j’espère que ca me sortira de l’embarra

j’ai pas le temps de faire ca se soir mais demain j’bricole tout ca

merci encore pour ton aide

:wink: attention! en redémarrant ta machine ton log hijack peut évoluer dans le mauvais sens - fait un contrôle avant