virus "au travail! Arrêtez de surfer!" • page 2

[r@in | b0w]

Bonjour.

C'est un reste de la vermine, reprends HiJackThis pour faire une analyse et poste le rapport.

De plus,

_ Tu cliques sur Open the Misc Tools Section;



_ Tu cliques ensuite sur Generate StartupList Log;



_ Tu confirmes le message avertissant de la création du StartupList Log en cliquant sur Oui.



_ Le Bloc-notes s'ouvrira avec le rapport, tu fais un copier-coller du rapport et tu le mets dans ton prochain message.

Si le Bloc-notes ne s'ouvre pas, tu trouveras le rapport startuplist dans le dossier contenant HiJackThis, par défaut le Bureau.

Ps: as-tu téléchargé Ccleaner?

[caribbean]

salut j'ai aussi ce problème pour le message "au travail!..." mais j'ai suivi les conseils et je n'arrive pas à supprimer certaines lignes du rapport de "HijackThis". Quand je les efface, ils réapparaissent... est-ce qq'un peut m'aider???

[r@in | b0w]

Bonjour caribbean.

Dans un premier temps, tu crées ton propre sujet en cliquant ici, pour plus de clarté & de compréhension, celui-ci n'étant pas encore fini.

Ensuite seulement:


_ Poste-nous le rapport HiJackThis.

_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


_ Tu télécharges USBFix.

Tu l'installes en gardant les paramètres par défaut.

Tu connectes tous tes périphériques de stockages externes (clés USB) et tu lances USBFix.

Ta machine redémarrera ensuite.

Fais un copier-coller du rapport généré, par défaut situé ici: C:UsbFix.txt.

[caribbean]

Merci pour ta réponse rain bow.
Finalement j'ai réussi à éliminer le problème. En tout cas, la phrase n'apparait plus. Donc je pense que c'est bon, non???
Je précise que j'ai bien télécharger les logiciels, mais j'ai fait la manoeuvre en commençant par exécuter usbfix avant Malwarebytes'. C'est pas grave???

[r@in | b0w]

Bonjour.

C'est pas grave???

Non mais si tu veux un suivi, tu crées ton sujet

[soso]

Bonjour,

j'ai le même virus sur mon pc et je n'arrive pas à l'enlever.
Mon pc et mes clés usb sont infectés par le virus "script antinul vbe".
J'ai lancé spybot et jai supprimé le virus qui sappelait windows 32 je crois.
Jai lancé avast et jai supprimé le mm virus parce qu'il était en quarantaine.
Maintenant quand je veux ouvrir ma clé usb, il y a une fenêtre qui s'affiche (windows script host---->impossible de trouver le fichier script "J:/antinul.vbe").
Et je ne sais pas si avast a vraiment nettoyé mon pc.

Est ce que quelqun'un pourrait me donner des conseils pour supprimer ce virus?

Merci.

[chiva]

Bonjour,

@soso : Pour que les postes restent clair, peut tu suivre les conseil de rain | bOw et créer ton propre post en cliquant ==>> ici.

Merci de ta compréhension.

Amicalement, Chiva

[melodiedav]

bonjour
J'ai le même virus depuis un moment et j'ai essayé la manipulation indiquée mais ça bloque à une étape. Vous dites qu'il faut selectionner le fichier "C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIEGE.EXE" mais il n'est pas sur mon ordi. Je peux remonter jusqu'au dossier "3" mais E_FATIEGE.EXE n'est pas à l'interieur...
Que puis je faire?

[r@in | b0w]

Bonjour.

Chaque cas étant unique, je t'invite à nous poster le rapport HiJackThis dans un nouveau sujet en cliquant ici.

Merci

Par ailleurs, le fichier que tu cites n'est probablement pas sur ta machine.

[melodiedav]

bonjour
comme vous m'avez bien aidé pour virer le virus "au travail" sur mon pc, je reviens à la charge pour l'ordi de ma coloc, ma clé usb et mon mp3.
je précise qu'en plus de la fenetre "au travail" qui s'ouvre régulièrement, la page d'accueil internet est bloqué sur une recherche "travailler plus".
voici le rapport Hijackthis (la clé et le mp3 sont branchés)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:01, on 25/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32acs.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32wscript.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32TODDSrv.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesAtherosACU.exe
C:Program FilesTOSHIBAConfigFreeCFSServ.exe
C:Program FilesClub-InternetAgent Wi-Fi V2McciTrayApp.exe
C:Program FilesJavajre1.5.0_06injusched.exe
C:WINDOWSsystem32spooldriversw32x863hpztsb07.exe
C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesVoipBuster.comVoipBusterVoipBuster.exe
C:Program FilesDAEMON Tools Litedaemon.exe
C:Program FilesClub-InternetLanceurlanceur.exe
C:Program FilesOpenOffice.org 2.1programsoffice.exe
C:Program FilesOpenOffice.org 2.1programsoffice.BIN
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32wuauclt.exe
C:Documents and SettingsazouLocal SettingsTemporary Internet FilesContent.IE5DTB437PKHiJackThis[1].exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN AppsST1.03.0000.1005en-xustmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesMSN AppsMSN Toolbar1.02.5000.1021frmsntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesMSN AppsMSN Toolbar1.02.5000.1021frmsntb.dll
O4 - HKLM..Run: [ACU] "C:Program FilesAtherosACU.exe" -nogui
O4 - HKLM..Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM..Run: [Club-Internet_McciTrayApp] C:Program FilesClub-InternetAgent Wi-Fi V2McciTrayApp.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06injusched.exe
O4 - HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSsystem32spooldriversw32x863hpztsb07.exe
O4 - HKLM..Run: [GrooveMonitor] "C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe"
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [VoipBuster] "C:Program FilesVoipBuster.comVoipBusterVoipBuster.exe" -nosplash -minimized
O4 - HKCU..Run: [DAEMON Tools Lite] "C:Program FilesDAEMON Tools Litedaemon.exe" -autorun
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [AVG7_Run] C:PROGRA~1GrisoftAVGFRE~1avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Club Internet.lnk = C:Program FilesClub-InternetLanceurlanceur.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:Program FilesOpenOffice.org 2.1programquickstart.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:PROGRA~1MICROS~2Office12GR99D3~1.DLL
O23 - Service: Service de configuration Atheros (ACS) - Unknown owner - C:WINDOWSsystem32acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:WINDOWSsystem32TODDSrv.exe

--
End of file - 7591 bytes




merci d'avance pour votre aide

[r@in | b0w]

Bonjour.

Ro, tu n'as toujours pas saisi ceci:

Chaque cas étant unique, je t'invite à nous poster le rapport HiJackThis dans un nouveau sujet en cliquant ici.

Tant pis


_ Via HiJackThis, tu supprimes les lignes:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Travaillez plus.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Au travail !Arrêtez de surfer!
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32antinul.vbe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:Program FilesOpenOffice.org 2.1programquickstart.exe
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)


_ Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

[melodiedav]

je suis désolée comme je vous l'ai déjà dit, il manque une case informatique dans mon cerveau...
J'arrive pas à désactiver l'anti virus et internet :s
désespoir

[r@in | b0w]

Internet, si tu es en Wifi, tu cliques sur l'icône en bas à droite puis sur Désactiver.
Si tu es connectée par cable, tu débranches!

Pour l'antivirus, tu cliques droit sur son icône puis sur Désactiver ou Quitter.

Si tu as un souci pour l'antivirus, dis-nous lequel tu as.

[melodiedav]

j'ai désactivé internet et carrement supprimé l'antivirus (AVG qui était périmé) mais je n'arrive toujours pas à faire fonctionner smidfraufix. On me dit "la modification du registre a été désactivée par votre administrateur"

[r@in | b0w]

Passe à Mbam.

Tu n'es pas sur une session Administrateur?