36 utilisateurs en ligne

95,877 questions

982,413 réponses

101,168 membres

Identification
Pas encore inscrit ? Cliquez-ici
L'Open C de ZTE intègrant Firefox OS est commercialisé depuis Juillet 2014 : qu'en pensez-vous ?

Virus sous windows 7

Salut!

Voilà j'ai choppé un virus qui m'a fait beaucoup de mal hier soir. En gros à partir du moment ou je l'ai choppé, il a téléchargé tout un tas de malware sur mon PC, j'ai rien pu faire à part assister à la décrépitude de mon ordi (heureusement que j'avais Avast qui m'a bien protégé...). J'ai quand meme reussi à en virer la plupart mais le mal était fait j'avais des BSOD toutes les 30 secondes. Du coup, n'ayant pas fait de sauvegarde de mon disque depuis un certain temps, j'ai réinstallé un nouveau windows 7 sans formater le disque. Tout s'est bien passé, là j'ai recup mon ordi à peu près comme avant et j'ai supprimé le windows.old.

Seulement en faisant tourner avast, il m'a trouvé 3 fichiers dans mes pilotes NVIDIA (Programfiles\Nvidia\...\nvrd32.sys identifiés comme étant Malware-gen, 3 fois le même fichier à des emplacements differents mais aucun dans windows). Ca m'a semblé bizarre qu'un malware vienne se mettre dans le pilote audio HD de Nvidia mais bon dans le doute j'ai mis en quarantaine.
En outre, malwarebyte ne trouve rien en scan complet, de même que spybot S&D.

J'ai fait un HijackThis, je copie/colle le log ci-dessous:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:00, on 27/12/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\ASUS\AI Suite\QFan3\QFanHelp.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Doc Joss\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\soundmax.exe /tray
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QFan Help] "C:\Program Files\ASUS\AI Suite\QFan3\QFanHelp.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 8160 bytes


Ca me semble pas dégueu mais je voudrais avoir l'avis de gens plus au courant.

Donc quels tests supplémentaires faire pour être sûr que mon ordi est nickel? Et pourriez-vous me confirmer que le log HijackThis est normal?

Enfin Quid des fichiers détéctés par avast? Faux positif? Est ce que ça va m'avoir mis le bordel dans mes drivers audio HD de les avoir mis en quarantaines?

Voilà, merci par avance pour votre aide!
posté le 27 Déc 2010 dans la catégorie Spywares / Malwares / Virus par cdtcf

12 Réponses

 
Solution
Bonjour cdtcf

- Tu utilise une version d'hijackthis qui ne reconnais pas Windows 7 suis cette procédure :

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.
Le rapport de ZHPDiag posté directement dans une réponse ne sera pas pris en compte



Étape 1

Télécharge ZHPDiag (de Nicolas coolman) http://telechargement.zebulon.fr/zhpdiag.html

- En cas de problèmes ici http://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

- Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)

** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau

- Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

- Laisse l'outil travailler, il peut être assez long.


- Une fois le scan terminé, le rapport (ZHPDiag.txt) s'affichera sur le bureau.

- Sinon le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag


Étape 2


Pour poster le rapport en lien rends toi sur ce site : http://www.cijoint.fr/

* Clique sur Parcourir et va jusqu'au rapport que tu as sauvegardé .

* Clic gauche dessus clique ensuite sur ouvrir
* Clique ensuite sur Cliquer ici pour déposer le fichier
* Une fois l'upload fini un lien apparaît copie/colle le dans ta prochaine réponse


- Aide pour ZHPDiag http://stopovirus.xooit.fr/t85-Guide-ZHPDiag.htm#p706
répondu le 27 Déc 2010 par Geronimo
Ok merci pour l'info, je pensais pas qu'il y avait des versions differentes en fonction de l'OS et j'avais pas trouvé le raport different de sous XP... Bref j'ai fait un ZHPDiag, voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201012/cijBUxWeRq.txt

Sinon j'ai refait un test complet avast avec toutes les options de recherche au max (genre ouverture des archives et tout le tintouin), j'ai retrouvé un autre fichier nvrd32.sys toujours identifié comme Malware-Gen situé dans C:\Windows\System32\DriverStore\Filerepository\nvhda.inf_x86_neutral_0d6acaaa82aa7a03\nvhda32.sys
J'ai mis en quarantaine aussi.

Voilà merci pour votre aide!

Edit: correction, j'allais mettre en quarantaine le dernier fichier mais en fait je peux pas, Avast m'affiche : "accès refusé" je ne peux donc rien en faire. Dois je y aller et le supprimer manuellement?
répondu le 27 Déc 2010 par cdtcf
modifié le 27 Déc 2010
Pour info, et après avoir regardé un des posts au dessus du mien, le malware que j'avais choppé avant de réinstaller windows c'était security shield. J'avais viré l'executable mais il était venu avec ses copains, je sais pas lequel est entré le premier mais mon ordi était devenu inutilisable... Voilà je sais pas si ça peut être utile.

Une faille est apparue recemment sous windows ou Avast? C'est bizarre que plusieurs personnes ai attrapé le même virus pour les fêtes. D'autant que j'étais relativement blindé (relativement hein)...
répondu le 28 Déc 2010 par cdtcf
Bonjour cdtcf
Citation:
security shield. J'avais viré l'executable mais il était venu avec ses copains, je sais pas lequel est entré le premier mais mon ordi était devenu inutilisable

- Cela se soigne très bien il faut être patient c'est tout

- Ne prends pas pour argent comptant tout ce qu'avast prends pour une infection ça sent le faux positif.


- Aucune trace d'infection dans le rapport posté, je vais te faire passer un scan en ligne avec Kaspersky


- Fais un scan en ligne ici http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html
-* Clique sur Accept
* Patiente le temps d'installation du Webscanner.
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

* Le scan terminé, clique sur Report ==> Save report choisis Fichier texte .txtcomme format de fichier et enregistre sur le bureau


- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
répondu le 28 Déc 2010 par Geronimo
Merci pour la réponse, je ferais ça ce soir, là je suis au bureau.
En revanche pour mon problème d'avant réinstallation de windows je ne pense pas que même toi tu aurais pu faire qqch. En gros je ne pouvais pas démarrer en mode sans échec (j'arrivais à une page noir avec juste la souris qui bougeait mais rien d'autre, pas d'icone, pas de barre des taches, queudal et Ctrl/Alt/Suppr ne faisait rien), et en mode normal j'arrivais à démarrer mais des que je lançais un executable ou meme que j'essayais d'ouvrir l'explorateur j'avais un BSOD...

Bref et pour les fichiers des drivers audio nvidia, je vais voir ce que kaspersky en pense, s'il trouve rien je pense qu'ils seront réhabilités. Avast à part être gratuit il sert quand meme pas à grand chose faut bien le dire. J'ai tendance à trouver que plus ça va et plus les antivirus servent à faire jolie. Ce qui compte surtout c'est d'avoir windows à jour. Enfin c'est une impression ^^

Encore merci, je post le rapport kaspersky ce soir!
répondu le 28 Déc 2010 par cdtcf
Re,

Voilà j'ai pas pu faire de scan kaspersky parce qu'à chaque fois il me marquait qu'il avait pas pu mettre à jour et ERROR: license has expired.
J'ai vu sur internet que ça arrivait de temps en temps. Du coup j'ai fait un ESET online scanner qui ne m'a trouvé aucune menace.

Je pense que je vais considérer que mon ordi est clean et que les fichiers qu'avast me trouve sont du à un abus d'alcool de sa part ^^

Si tu n'as pas d'autre idée, renseignement, infos, je vais clore le sujet.

Merci pour ton aide!
répondu le 28 Déc 2010 par cdtcf
- On va utiliser un autre antivirus.

ESET Online Scanner

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:
http://download.eset.com/special/eos/esetsmartinstaller_enu.exe


- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.

Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
répondu le 28 Déc 2010 par Geronimo
Rere,
je suppose que tu as mal lu mon dernier post, j'ai fait un ESET online scanner vu que kaspersky ne marchait pas. Et il n'a absolument rien trouvé.

Voilà voilà.
répondu le 28 Déc 2010 par cdtcf
Bonjour cdtcf

- Dans ce cas on passe au final

- On va maintenant procéder au nettoyage des outils téléchargés.

- Télécharge DelFix (d'Xplode) http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe sur ton bureau.

- Lance le et clique sur Recherche


- Le scan fini clique sur Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
répondu le 29 Déc 2010 par Geronimo
Oki doki je fais ça ce soir!

Merci encore pour ton aide, je connaissais pas cet outil delfix, ça peut en effet être bien pratique.
répondu le 29 Déc 2010 par cdtcf
- Je te donne quelques consignes de sécurité :

- Windows Update ( http://www.windowsupdate.com/ ) parfaitement à jour (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antimalware



- Si tu considères ton problème comme résolu
- A gauche : Actions dans Aide en ligne clique sur Mon problème est résolu et coche la case devant les réponses qui t'ont aidé à résoudre ton problème.

- Clique ensuite sur Mom probléme est résolu qui est en bas de la page.
répondu le 29 Déc 2010 par Geronimo
Réponse automatique :

Cette question est résolue
répondu le 29 Déc 2010 par Robot SOSOrdi

Questions associées:

2 réponses 36 vues
posté le 4 Juin dans la catégorie Matériel par brigan
12 réponses 19 vues
posté le 17 Fév dans la catégorie Logiciel par eric3978a
8 réponses 58 vues
posté le 16 Oct 2012 dans la catégorie Logiciel par giriw
2 réponses 6 vues
posté le 15 Août 2012 dans la catégorie Windows Vista/7 par jackyrot
2 réponses 6 vues
posté le 6 Août 2012 dans la catégorie Logiciel par giriw
...