[marco]

bonjour à tous,
voilà je poste car comme vous aurez pu le deviner, mon pc semble infecté par un ou deux virus qui traînent;
En effet, mon anti-virus kaspersky me signale qu'un des objets est infecté par le virus.win32.sality.n et j'ai même une petite variante disant qu'un autre objet est infecté par Trojan.downloader.win32.del. Mon AV ne parvient pas à les éliminer.
Voilà pouvez-vous faire quelque chose pour moi car je sais que c'est vous qui possédez le plus souvent le vaccin miracle.
Merci pour l'aide que vous pourrez m'apporter. :sage: 

[!aur3n7]

Bonjour,

Pour commencer autant l dire sality est probablement une des bestioles les plus difficiles à erradiquer car infecte tous les fichiers executables qui sont lancés.

Ce qui ne signifie en rien que c'est impossible seulement il faudra faire plusieurs scans très long et cela necessite tout de même une certaine motivation bien que si le systeme n'est pas trop infecté cela peut suffir en 1 seul passage.



Étape 1:
- Télécharge eScan Antivirus Toolkit http://www.spywareinfo.dk/download/mwav.exe
* Sauvegarde-le sur ton Bureau.
* Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
- Mise à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; enfonce une touche pour continuer.

Ne pas lancer le scan tout de suite !

Télécharge sality.zip http://www.cfasi.net/telechargement/sality.zip
Décompresse le sur ton bureau



Étape 3:
Redémarre en mode Sans Échec
(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

lance sality.bat
Clique sur f (fix)

sauvegarde le rapport généré.


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur attention cela risque de prendre du temps aux vues du log précédent

Lorsque terminé, tu verras Scan Completed Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) les rapports que tu as sauvegardé dans ta prochaine réponse.
(mwav.exe et sality.bat)

Bon courage 

[marco]

salut,
donc comme tu me l'as remarquablement expliqué, j'ai fait toutes les manips et voilà ce que çà a donné:

Prenet sality v1.0 beta

Rapport fait à 22:04:35,96, 02/08/2006
Executé à partir de C:\Documents and Settings\confo\Bureau\sality
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal



!! modification fichier hosts !!

!! Supression des fichiers temporaires !!


oooooooooooooooooooo !! fin du rapport !! oooooooooooooooooooo

voilà pour la 1ère étape, voici pour le scan qui a pris un peu plus de temps et que je n'arrivais pas à copier/coller donc je l'ai recopié:

File C:\WINDOWS\system32\tmp_42.exe infected by "Trojan-Downloader.Win32.Small-djv"Virus.Log supprimé

voilà, j'espère que j'ai bien fait les choses. Encore merci et à bientôt.  

[!aur3n7]

Bonjour,

Ca a l'air correct.

Petite operation pour nettoyer ela


- Désactive la restauration système

[marco]

c'est la panique,
je sais pas ce que j'ai fait ou alors si c'est plus grave que je le pensais mais mon pc fait n'importe quoi.
il ne veut plus redémarrer lorsque mon modem est activé donc je peux plus aller sur le net avec (heureusement j'ai un autre pc et j'ai pu brancher internet dessus!)et quand je l'active, alors qu'il est sur windows, il redémarre et impossible de revenir sur windows, même en mode sans échec.

en plus j'ai une fenêtre maintenant qui arrête pas de s'enclencher en bas à droite de mon écran me disant que mon pc est infecté par un spyware. Enfin j'y comprends plus rien.
J'espère que j'ai pas fait de mauvaises manips.
Merci pour l'aide que tu pourras m'apporter. 

[!aur3n7]

Bonjour,

Decidement

- Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 et Entrée
/!\ ne touches surtout pas aux autres options pour le moment /!\
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

/!\ process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. /!\



- Redémarre ton PC en mode sans échec Impératif !!!

* Ouvre le dossier SmitfraudFix
* Double clic sur SmitfraudFix.cmd choisis l'option 2 et Entrée
* Réponds O (oui) à Voulez-vous nettoyer le registre ?

* Si cette question t'est posée
* Réponds n(Non) à Corriger le fichier infecté ?
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

- Redémarre en mode normal

Post les 2 rapports smitfraudfix ainsi qu'un log hijackths

a+ 

[marco]

donc là , j'ai fait smithfraudfix, le souci c'est quand j'ai fait l'option 1, j'ai redémarré en mode sans échec et là, j'ai un écran noir avec un tiret blanc qui clignote en haut à gauche? qu'est-ce qui se passe? 

[!aur3n7]

A priori le fichier boot.ini est coorompu.

Essaies de lancer l'option 2 en mode normal et ensuite faire le log hijackthis pour essayer d'y voir plus clair 

[marco]

voici la bête:
Log supprimé - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe 

[!aur3n7]

Effectivement à ce point c'est pas une grippe c'est une pneumonie.

Dans la mesure ou tu ne peux démarrer en mode sans echec je vais devoir faire un fichier batch pour arreter les procesus et supprimer les fichiers par conséquent cela demande un peu de temps

si jamais tu parviends a demarrer en mode sans echec relances hijackthis, coche ces ignes

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: .0.0.1 rads.mcafee.com
O2 - BHO: (no name) - {87185E78-A61B-4DB3-965A-3235BBD7A622} - C:\WINDOWS\system32\win32hp.dll
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [win32hlp] C:\WINDOWS\system32\win32hlp.exe
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\system32\NvVid.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [123c10c3.exe] C:\WINDOWS\system32\123c10c3.exe
O4 - HKLM\..\RunServices: [updwebmin] c:\windows\system32\updwebmin.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [updwebmin] c:\windows\system32\updwebmin.exe
O4 - HKCU\..\Run: [123c10c3.exe] C:\Documents and Settings\confo\Local Settings\Application Data\123c10c3.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_h.dll infoitss.dll lzexkbdu.dll
O20 - Winlogon Notify: acac - C:\WINDOWS\system32\acac.dll
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O21 - SSODL: FCTMpjJ - {A08A56DF-0A20-FC75-43D3-00EE99DB2E41} - C:\WINDOWS\system32\ylfk.dll
O21 - SSODL: DCOM Server 2240 - {2C1CD3D7-86AC-4068-93BC-A02304BB2240} - C:\WINDOWS\system32\2240_28.dll

puis clique sur fixer objet (ou fix checked)

je prepare un batch ce soir pour supprimer ca.

a+ 

[marco]

merci pour le mal que tu te donnes en tout cas.
Je crois que je vais attendre car il veut pas démarrer en mode sans échec, y a rien à faire.
Bon ben alors à toute! 

[!aur3n7]

Re,

On va donc faire un premier essai

Télécharge marcofix http://www.cfasi.net/telechargement/Marcofix.zip

- décompresse le sur ton bureau

- Ferme toutes les applications

Lors du lancement le bureau disparaitra
le fix sera terminé quand il réapparaitra

- lance Fix.bat
* appuies sur la touche "F" puis valide par entrée

- Supprime le dossier Marcofix (et le fichier compressé)

Redémarre et refais un log hijackthis pour s'assurer du résultat.

a+ 

[marco]

nouveau rebondissement, windows refuse de supprimer le dossier marcofix. Le fichier zip oui mais pas moyen pour l'autre fichier 

[marco]

bon ben là je suis arrivé à le supprimer après l'avoir glissé dans un dossier compressé. Voilà le rapport après avoir redémarré:
Log supprimé - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe 

[!aur3n7]

Re,

Délicate la bestiole



Télécharge combofix http://download.bleepingcomputer.com/sUBs/combofix.exe

double clique dessus
choisis "Y" pour Yes et laisse le faire son travail

Un rapport sera généré, sauvegarde le et fais en un copier coller (attention ce rapport peut être tres long)

Apres ca redemarre et refais un nouveau log hijackthis