Bonjour, depuis 3 jours je suis très embêté par des virus qui se sont incrustés dans mon ordi, bien qu'ils ne m'empêchent pas de l'utiliser.
Ça a commencé le 16/03/11, Microsoft Security Essentials m'a signalé (sans scan de ma part) "Backdoor:Win32/VB.LU". Je l'ai donc supprimé selon les conseils de MSE (mais depuis il est réapparu 6 fois).
Le même jour, l'ordi me met un message d'erreur "Impossible de trouver le fichier script C:\User\Max\AppData\Local\Temp\invs.vbs", Code : 80070002, source : (null), accompagné de 2 petites fenêtres intitulées "Error 5" et contenant "Error 5 : Accès refusé" Ça m'affiche ça à chaque fois que je démarre l'ordi et plusieurs fois dans la journée.
Le soir, MSE m'a trouvé une autre saloperie (toujours sans scan de ma part) : "Worm:Win32/Ainslot.A", qu'il me recommande de mettre en quarantaine, ce que j'ai fait (mais après vérification, il ne se trouve pas dans la quarantaine, de plus MSE me l'a signalé 4 autres fois).
Hier, un ami est venu pour m'aider à régler le problème, s'y connaissant bien mieux que moi.
Il m'a fait installer MBAM, mais la version que j'avais datait de 2008 et la MAJ refusait de s'exécuter (soit disant problème de connexion internet alors que j'arrivais à aller sur internet via firefox, et que j'arrivais à mettre à jour MSE). Etait-ce ces virus qui me refusaient la MAJ?
Mon ami m'a fait déconnecter internet pour éviter l'entrée d'autres virus (clef WI-Fi enlevée).
Dans la nuit, j'ai fait un scan avec MBAM (version 2008) --> il a trouvé 2 fichiers infectés :
C:Users\Max\AppDate\Local\Temp\svhost.exe (heuristic.reserved.world.exploit)
C:Users\Max\AppData\Roaming\rundll32.exe (heuristic.reserved.world.exploit)
Ce matin, j'ai fait un scan avec MSE qui n'a strictement rien trouvé.
J'ai ensuite mis à jour manuellement MBAM, puis fait un scan avec --> il a trouvé 10 infections :
1 clefs de registre : HKEY_CURRENT_USER\Software\VB and VBA Program Setting \ SrVID
9 fichiers :
d:\Max\documents\Phoenix\Phx-data\Res\EmuCfg.exe (Trojan.Agent)
d:\Max\documents\Phoenix\Phx-data\Res\GCFMgr.exe (Trojan.Agen)
d:\Max\documents\Phoenix\Phx-data\Res\RICO.exe (Backdoor.Bot)
d:\Max\documents\Phoenix\Phx-data\Res\ss.exe (Backdoor.Bot)
d:\Max\documents\Phoenix\Phx-data\Res\EMUS\Rev\steamclient.dll (Trojan.Dropper.PGen)
d:\Max\Jeux\jeux gameboy\emulateurs\Nosgba\No$gba 2.6a\herramientas\nds top system 0.2\nds top system.exe
C:\User\Max\AppData\Roaming\data.dat (stolen data)
C:\User\Max\AppData\Roaming\rundll32.exe (Trojan.Agent)
C:\User\Max\AppData\Local\Temp\svhost.exe (heuristic.reserved.world.exploit).
Suite à ça, il faut que je redémarre l'ordi, je m'exécute, mais une fois ma cession lancée, MSE retrouve le virus "Worm:Win32/Ainslot.A" (sans scan de ma part) et toujours la même erreur "Impossible de trouver le fichier script C:\User\Max\AppData\Local\Temp\invs.vbs"
Je relance à nouveau un scan avec MBAM qui cette fois ne trouve rien. Nouveau scan MSE en cours, mais sans grand espoir.
Voilà je vous demande donc de l'aide,oh puissants dieux en informatique, pour résoudre ce problème.
 
Voilà ci-dessous le rapport de MBAM:
 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Version de la base de données: 6092
 
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
 
19/03/2011 10:04:15
mbam-log-2011-03-19 (10-04-15).txt
 
Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 337590
Temps écoulé: 38 minute(s), 11 seconde(s)
 
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
 
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
 
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
 
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
 
Fichier(s) infecté(s):
d:\Max\documents\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\Emus\Rev\steamclient.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
d:\Max\Jeux\jeux gameboy\emulateurs\Nosgba\No$gba 2.6a\herramientas\nds top system 0.2\nds top system.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Local\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Hello
 
d:\Max\documents\Phoenix\Phx-data\Res\RICO.exe
 
Promis, c'est pas moi !
 
    Utilise ce logiciel de diagnostic :
 
     
Télécharge ZHPDiag (de Nicolas Coolman)
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
/!\ ne poste pas le rapport sur le forum directement /!\
 
++
 
++

http://www.cijoint.fr/cjlink.php?f [...] WBcZDw.txt
 
Par contre c'est un diagnostic que j'ai fait avec OTL, que j'ai fait dans la matinée, je sais pas si c'est la même chose.

Bah ça marche aussi ! C'est à la préférence du helper, et c'est vrai que moi je préfère ZHPDiag
 
MBAM a bien bossé, mais il doit en rester
 
/!\ Désactive tous tes logiciels de protection /!\
 
   * Télécharge ComboFix (de sUBs) sur ton Bureau.
   * Double-clique sur ComboFix.exe afin de le lancer.
   * Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
   * Ne touche à rien pendant le scan.
   * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
   Tutoriel officiel de Combofix :
 
--> http://www.bleepingcomputer.com/co [...] r-combofix  
 
++

Mais ça craint pas si je désactive tous les logiciels de protection sachant que j'ai un virus sur le pc?

Ah ben maintenant qu'il est installé, tu ne crains plus rien !! ^^
 
Non, sérieux, ça ne craint absolument rien

Le rapport va arriver. C'est normal que toutes les applications je doivent les exécuter en tant qu'administrateur? Car sinon ça refuse de l'exécuter et ça me dit "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

Voilà le rapport de Combo fix. Ca fait peur quand ça se met en route ce logiciel, avec la fenêtre toute bleue.
Le rapport j'arrive pas à le lire, ça me met le même message que je vien d'expliquer, problème avec la cle registre marquée pour suppression, et comme je peux pas l'ouvrir en tant qu'administrateur...j'arrive à le lire une fois posté sur internet.
 
http://www.cijoint.fr/cjlink.php?f [...] oeOFkk.txt

 
Désolé de pas avoir réagit à ta blague, faut avouer que j'avais d'autres choses en tête. Mais elle était pas mal. ^^

Bon le problème de l'ouverture des fichiers est réglé, après avoir re-redémarré le pc ça marche à nouveau.
Et depuis que j'ai exécuter Combofix j'ai plus eu d'allertes, que ce soit par MSE automatiquement à l'ouverture de la cession ou par scan de MSE et MBAM que j'ai réalisés.
Donc merci, ça à l'air d'être bien. Il en dit quoi le rapport que je t'ai envoyé?

Salut.
 
Désolé, hier, j'ai du m'absenter pour la journée
 
Alors, pour ma blague, c'est rien, faut pas m'en vouloir ! lol
 
Cela semble réglé, Combofix a bien bossé. Il nous reste à vérifier  
 
D'abord, relance MBAM.
Via l'onglet "Mise à jour", lance la mise à jour.
Une fois terminée, retourne sur l'onglet "Recherche".
Lance un examen rapide.
Poste le rapport.
 
===================
 
Peux-tu me faire un rapport avec ZHPDiag stp ? Et me poster le lien comme décrit plus haut ? Merci.
 
++

Rapport de Mbam :
 
http://www.cijoint.fr/cjlink.php?f [...] 00UFFH.txt
 
Rapport ZHPdiag :
 
http://www.cijoint.fr/cjlink.php?f [...] k3Kzi5.txt

Hey
 
Encore des soucis sur ton pc ?