Infection par Adware.virtumonde
Infection par Adware.virtumonde - Sécurité - Windows & Software
Marsh Posté le 22-07-2006 à 19:38:10
Bonjour a tous,
* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.
* Télécharge et installe :
- Ewido anti-spyware
http://www.ewido.net/en/download/
- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
- Ferme Ewido. Ne pas le lancer tout de suite.
-CCleaner
http://www.ccleaner.com/ccdownload.asp et installe le. (Attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).
* Enregistre les instructions de la page web puisque en mode sans echec, tu n'auras pas acces a Internet.
Pour enregistrer la page Internet :
- Clique Fichier / Enregistrer sous / Enregistre la sur le bureau
Apres ceci, lorsque tu seras en mode sans echec, tu trouveras la manipulation a faire sur ton bureau.
* S'assurer que tout les fichiers soient la :
Ouvre le poste de travail ou l'Explorateur Windows (ce que tu utilises d'habitude pour visiter tes fichiers).
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Tu trouveras ces réglages dans le cadre "Paramètres avancés" :
- Fichiers et dossiers cachés : coche "Afficher les fichiers et dossiers cachés"
- Décoche "Masquer les extensions des fichiers dont le type est connu"
- Décoche "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation réponds "Oui"
* Redémarre ton PC en mode sans échec.
- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
* Enlever les lignes nefastes :
Relance HijackThis et clique sur Do a scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
O2 - BHO: (no name) - {AF96579D-2B7E-40E4-99E4-8D24CAF9FD2B} - C:\WINDOWS\system32\awvtq.dll
O20 - Winlogon Notify: awvtq - C:\WINDOWS\system32\awvtq.dll
O20 - Winlogon Notify: winrvc32 - C:\WINDOWS\SYSTEM32\winrvc32.dll
Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .
* Supprimez des mauvais fichiers/dossiers :
Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\WINDOWS\system32\ awvtq.dll <== Le fichier
C:\WINDOWS\SYSTEM32\ winrvc32.dll <== Le fichier
* Lance CCleaner en double cliquant sur CCleaner.exe
-=Suppression des fichiers temporaires=-
- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
- Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
- Clique sur Analyse
- Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
- Une fois le scan terminé, clique sur Lancer le Nettoyage
-=Suppression des incohérence du registre=-
- Clique sur l'icône Erreurs situé dans la marge à gauche.
- Puis clique sur Analyser les erreurs
- Patiente pendant que CCleaner scanne ton registre.
- Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
- Tu peux cliquer ensuite sur Corriger les erreurs.
- Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.
* Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
- Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
- Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
* Voir les resultats de la manipulation :
Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.
Marsh Posté le 23-07-2006 à 01:15:06
Merci beaucoup pour cette réponse complète et précise 
Je suis plus chez moi donc je ne peux pas tester tout de suite.
Je vous dirais si ça s'est bien passé.
Sujets relatifs:
- fichier infecté par adware.casino.H
- UC à 100% sans infection
- Adware à la connexion
- Adware/Spyware
- conseil adware spy
- "Adware.look2Me" impossible à retirer...
- perdue wininet apres infection virus
- [résolu]Probleme avec adware.lop et adware.lop!dl
- Avg : virus Adware Generic
- Modif registre suite à infection virale ? [Résolu]
Marsh Posté le 22-07-2006 à 17:16:30
Bon, depuis quelques jours Nod32 Me sort cette alerte
)
Fichier:
C:\Windows\System32\awvtq.dll
------------------------------------
Menace:
Win32/Adware.Virtumonde application
------------------------------------
Commentaire:
Ce fichier peut être supprimé. Assurez-vous d'avoir sauvegardé vos données avant le nettoyage. Un événement s'est produit lors de la tentative d'accès au fichier par l'application: \??\C:\WINDOWS\system32\winlogon.exe.
J'ai essayé des tas de choses pour m'en débarrasser mais je n'y arrive pas...
Je vous met le rapport HijackThis si ça peut vous aider (j'ai d'ailleurs l'impression que l'ordi est plein de saloperies
Logfile of HijackThis v1.99.1
Scan saved at 17:16:41, on 22/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
G:\Program Files\NOD32\nod32kui.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
G:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
G:\Program Files\LogiGamer\LogiGamer.NET.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
G:\Program Files\NOD32\nod32krn.exe
G:\Program Files\Freebrowser Heavy\FreeBrowser\FreeBrowser.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
G:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\MouseWare\System\EM_EXEC.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AF96579D-2B7E-40E4-99E4-8D24CAF9FD2B} - C:\WINDOWS\system32\awvtq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nod32kui] "G:\Program Files\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Babylon Client] G:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [WinampAgent] G:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogiGamer] "G:\Program Files\LogiGamer\LogiGamer.NET.exe" /m /a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Startup: Freebrowser Heavy.lnk = G:\Program Files\Freebrowser Heavy\FreeBrowser\FreeBrowser.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\POKER.FR\client.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109170505000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: awvtq - C:\WINDOWS\system32\awvtq.dll
O20 - Winlogon Notify: winrvc32 - C:\WINDOWS\SYSTEM32\winrvc32.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - G:\Program Files\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Voiloa, si vous pouviez m'aider, ce serais sympa!
Merci