Voilà il y a deux jours j'ai chopé un virus assez bizarre. Alors en fait c'était mon pere qui était à l'ordi, je sais pas ce qu'il faisait mais rien d'inhabituel.
Bref, toujours est-il qu'il a eu une fenetre qui lui a demandé de télécharger un truc. C'était en anglais et il comprend vraiment rien, alors il a cliqué sur ok. Ça a commencé à télécharger un truc, puis ça demandait de payer alors il a tout quitté. Donc maintenant, dès que je redémarre mon ordi, le fond d'écran change et il y a un écran bleu avec écrit "warning there's a spyware on your computer, install an antivirus remover to clean your computer." Puis ça ouvre directement un truc d'antivirus que je connais pas (ça s'appelle WinIFixer) et ça fait une analyse en 5 secondes ( ) qui trouve 165 fichiers infectés. Si on essaye de cliquer sur supprimer ou quoi que ce soit, ça demande de payer.
J'ai donc supprimé l' "antivirus" et remis le fond d'écran. Mais dès que j'éteint et rallume l'ordi, tout se remet. Il y a aussi quelques problèmes : quand j'ouvre internet explorer, ça dit que windows ne trouve plus un fichier (j'ai pas relevé le nom) et j'ai de temps en temps des alertes avast qui disent qu'un cheval de troie a été découvert (et le cheval de troie en question est dans le dossier system32). J'ai aussi essayé de restaurer le système, mais tous les points de restauration ont été effacés...

D'avance si quelqu'un peut m'aider ...

Salut,

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:11, on 20/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\AOL\1189940104\ee\AOLSoftware.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmona.exe
C:\Program Files\WinIFixer\WinIFixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program
Files\Google\GoogleToolbarNotifier\GoogleToolbarNo
tifier.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Il y a plein de trucs ensuite, mais le message est trop long si je le met. Dis moi si t'as besoin

Ta quoi en anti-virus?

J'ai avast

Enfet j'ai pas compris c'est une fenetre de bureau ou d'explorer internet?

Upload le rapport sur mediafire et poste le lien :
http://www.mediafire.com/

Vive les rogues :

C:\WINDOWS\system32\ctfmona.exe
C:\Program Files\WinIFixer\WinIFixer.exe

C'est une fenetre du bureau D'ailleurs ça vient de me réouvrir un truc me disant que mon ordi est infecté et qu'il faut payer pour avoir l'antivirus WinIFixer.

http://www.mediafire.com/?ztcdf9eyzsu

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://siri.geekstogo.com/SmitfraudFix.exe

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*]process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

• • Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix

Tiens j'avais jamais vu un programme en console ^^
c'est en train de faire le truc là.

Je te conseille d'upload le rapport plutôt que de le poster.

Il rentrait pas non plus de toute façon.

http://www.mediafire.com/?ixtuxypp1fm

- Redémarre ton ordinateur en mode sans échec :
http://www.sosordi.net/Faq/Faq.2.html

- Double-clique sur SmitfraudFix.exe, choisis l'option 2 et Entrée

- Réponds O(oui) à ces deux questions si elles te sont posées

Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?

- Un rapport sera généré, sauvegarde-le sur le bureau

- Redémarre en mode normal

- Upload le rapport SmitfraudFix et un nouveau rapport HijackThis

c'est quoi "l'affichage du BIOS" ?

Tapote sur F8 juste avant le chargement de Windows

Bon je l'ai fait mais ça a un peu buggé. J'ai fait l'étape 2, mais quand c'est arrivé à "nettoyage du disque D" ça s'est arrêté et ça faisait plus rien (j'ai attendu au moins 10 minutes). Puis y'a eu des genre de bestioles noires qui marchaient sur l'écran (ça doit etre un ecran de veille qui s'est mis avec le virus, ça me l'avais fait une autre fois)
Bref, au bout d'un moment j'ai annulé, ça m'a demandé si je voulais nettoyer le registre. J'ai mis oui et ça a terminé le truc. J'ai redémarré et j'ai plus l'écran bleu (enfin j'ai un autre écran bleu mais c'est celui de windows quand on a pas de fond d'écran) et j'ai plus le message d'erreur qui disait que ça trouvais pas le fichier.
J'ai encore l'antivirus qui me dit de payer etc... pour supprimer les fichiers.

Rapport de smitfraudfix (après l'étape 2)
http://www.mediafire.com/?xd0yjymxckn

Rapport de hijackthis (après le redémarrage)
http://www.mediafire.com/?t9lgzdxnmyu

Tu peux supprimer SmitfraudFix

Fais ceci :

---> Télécharge OTMoveIt2 à partir du lien ci-dessous :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.

---> Copie l'intégralité du texte dans le cadre ci-dessous et colle le dans la fenêtre intitulée Paste Standard List of Files/Folders to be moved.

C:\Program Files\WinIFixer\
C:\WINDOWS\SYSTEM32\wvULeeDU.dll

---> Clique sur le bouton MoveIt! et attends la fin du travail de l'outil puis ferme OTMoveIt2.

Remarque : Un redémarrage du PC est parfois nécessaire pour déplacer certains fichiers. S'il est demandé, clique sur Oui/Yes.

---> Pense à enregistrer le rapport et poste-le ici.