Virus au travail, arretez de surfer !

[camilleb]

Bonjour,

J'ai le même problème que nicopout et ai suivi à la ligne vos conseils. J'ai d'abord installé Hijack This, ai supprimé les lignes suivantes :

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe

Ensuite, je suis allée sur virustotal.com pour sélectionner le fichier C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIEGE.EXE comme l'indique R@ainbOw mais là, problème, j'ai plusieurs fichiers dans le dossier 3 et je ne sais pas lequel envoyer à l'analyse...

Je pensais que le fait de supprimer les lignes infectées nettoyerait mon pc mais le virus est toujours là. Pourriez-vous m'aider ?

Voici le rapport d'Hijack pour plus d'infos. Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:08:07, on 04/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscript.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAntiVir PersonalEdition Classicavguard.exe
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:Program FilesCommon FilesAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesCyberLinkShared filesRichVideo.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesAntiVir PersonalEdition Classicavgnt.exe
C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe
C:Program FilesGoogleGoogle Talkgoogletalk.exe
C:Program FilesSonyHotKey UtilityHKserv.exe
C:WINDOWSSystem32alg.exe
C:Program FilesiTunesiTunesHelper.exe
C:WINDOWSPhilipsSPC230NCMonitor.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:WINDOWSsystem32igfxext.exe
C:Program FilesATnotesATnotes.exe
C:Program FilesSkypePhoneSkype.exe
C:Program FilesSuperCopier2SuperCopier2.exe
C:Program FilesSonyHotKey UtilityHKWnd.exe
C:Program FilesPhilipsPhilips SPC230NC WebcamTrayMin230.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesSkypePlugin ManagerskypePM.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsvaioDesktopNettoyage ordi.exe
C:WINDOWSsystem32wbemwmiprvse.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:PROGRA~1MICROS~3Office12GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:Program FilesVeoh NetworksVeohPlugins egVeohToolbar.dll
O4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [GrooveMonitor] "C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe"
O4 - HKLM..Run: [googletalk] C:Program FilesGoogleGoogle Talkgoogletalk.exe /autostart
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [HKSERV.EXE] C:Program FilesSonyHotKey UtilityHKserv.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [SPC230NC_Monitor] C:WINDOWSPhilipsSPC230NCMonitor.exe
O4 - HKLM..Run: [SPC_Monitor] C:WINDOWSPhilipsSPC230NCMonitor.exe
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [ATnotes.exe] C:Program FilesATnotesATnotes.exe
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [SuperCopier2.exe] C:Program FilesSuperCopier2SuperCopier2.exe
O4 - HKCU..Run: [BitComet] "C:Program FilesBitCometBitComet.exe" /tray
O4 - HKCU..Run: [Philips Intelligent Agent] "C:Program FilesPhilipsIntelligent AgentPhilips Intelligent Agent.exe" /SILENT
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUSS-1-5-19..Run: [TaskSwitchXP] C:Program FilesTaskSwitchXPTaskSwitchXP.exe (User 'LOCAL SERVICE')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:Program FilesMicrosoft OfficeOffice12ONENOTEM.EXE
O4 - Global Startup: TrayMin230.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:PROGRA~1MICROS~3Office12EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3Office12REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Fac ... oader5.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Fac ... oader3.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:PROGRA~1MICROS~3Office12GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesCommon FilesAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Program FilesCyberLinkShared filesRichVideo.exe

--
End of file - 9112 bytes

[EagleDig]

Le probleme avec un virus c'est qu'il est plus facile de le bloquer que de le supprimmer, généralement si tu est infecté, tu ne poura jamais totalement supprimmer un virus, sauf par un formatage.
bonne journée

[jéjé 02]

bonjour, tu peut essayé windows live one care si tu as une version d'origine ,je me suis débarrassée des virus avec ça ,mais maintenant c'est sur si c'est un bon virus pour le viré sa va être dur , bon courage a toi

[Ask to Old Man]

Le probleme avec un virus c'est qu'il est plus facile de le bloquer que de le supprimmer, généralement si tu est infecté, tu ne poura jamais totalement supprimmer un virus, sauf par un formatage.
bonne journée

Que tu es pessimiste!! Parcoures le Forum securite et virus
Et tout particulièrement ce sujet. Pour beaucoup d'entre-nous,
formater n'est pas une solution mais un "abandon"qui bien souvent
ne permet pas de comprendre ou d'apprendre à éviter les problèmes.

[Pac428]

Salutatous, coucou Old Man ! ... toujours aussi "soft" ...

@Camille : deux lignes à supprimer impérativement (fix checked)

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com

O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Tuto => ICI <= si besoin.

Vas-y et fait savoir ce que ça donne.
Si les lignes réapparaissent, il faudra supprimer
les points de restauration et recommencer.

++

[Ask to Old Man]

Salutatous, coucou Old Man ! ... toujours aussi "soft" ...

Même si les désinfections me rebutent, le "Format C:" me met aussi en vrille.
Mais, de la à me facher, il en faut plus... ...Je ne vais pas m'épuiser le coeur pour un PC infecté.

[Pac428]

... j'aime pas trop non plus la décontamination,
mais bon, au Goulag, bien naturellement, les purges, on connait ...

++ Camarade Old Man

[r@in | b0w]

Bonjour.

Même si les désinfections me rebutent, le "Format C:" me met aussi en vrille.

Tu m'étonnes, cela fait cinq avec l'androïde & M. Bannière en retard!

Un formatage pour ce virus en plus, il y a de quoi s'écrouler de rire!

Sinon, pour en revenir au sujet:

1_ Internet Explorer n'est pas à jour!

Tu installes la version 7 ici.

2_ Tu as deux antivirus installés, Avast & Antivir.

Tu n'en gardes qu'un et désinstalles l'autre avec le désinstalleur spécifique ici.

Je te conseille de garder Antivir.