MS32DLL.dll.vbs

Bonjour,

Mon antivirus (Avast) a trouvé ce virus MS32DLL.dll.vbs sur mon PC.
Il était impossible de le mettre en quarantaine, alors je l'ai effacé.
Mais depuis, je ne peux plus ouvrir mes disques depuis le poste de travail en double cliquant dessus. Le message d'erreur est: impossible de trouver le fichier script "C:\MS32DLL.dll.vbs"
Et puis le virus est aussi sur ma clé USB.

J'ai vu que plusieurs personnes ont déjà eu ce problème, mais je ne comprends pas toutes les explications données pour s'en débarrasser (en plus, ça a l'air un peu différent d'une fois sur l'autre).

Au secours!
Et merci d'avance

une (très) néophite

Bonjour


Télécharge ceci

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Si ton antivirus fait une alerte, ignore la.

Branche tout tes périphériques (clé, disque ,..)

Execute le fichier et poste un rapport HijackThis
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Merci... mais comment on "poste un rapport HijackThis" ?

Bon, j'ai téléchargé le fichier, j'ai branché ma clé USB et j'ai lancé l'executable, et là, toutes les icones de mon bureau ont disparu et à part ça j'ai l'impression qu'il ne se passe rien!
??????

Regarde les liens "Tutorial" et "Démo en image".

Redémarre le PC.

Heu... c'est pas des liens; je peux retrouver ça où?

Bon.

D'abord, as tu redémarré le PC et as tu retrouvé les icônes ?

Ensuite regarde bien ce qui est écrit dans les messages et tu trouveras les liens

Voilà le rapport (Désolé! je viens juste de voir que les liens en question étaient dans la 1ère réponse):

Logfile of HijackThis v1.99.1
Scan saved at 21:46:48, on 10/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [PlayerKiosquePlus] C:\Program Files\Lecteur CANALPLAY\PlayerKiosquePlus.exe /iconic
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service CANALPLAY - Canal+ Active - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe

Pas de signe d'infection dans ce rapport.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Laisse tous les périphériques branchés
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

Voilà ce qu'il me dit:

Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen.

Je précise que personne d'autre que moi n'a jamais utilisé ce PC; je ne vois donc pas qui d'autre peut en être l'administrateur. Mais si je ne suis pas administrateur sur ma session, et qu'il n'y a pas d'autre session, je ne vois pas quoi faire.
D'ailleurs, je viens de voir dans le panneau de configuration que je suis bien administrateur.
Quant au niveau de sécurité IE, je ne trouve pas où ça se règle.

Finalement j'ai trouvé, pour régler le niveau de sécurité. C'est bien sur moyen, mais j'ai toujours le même message d'erreur.

Bonjour

Fais ceci

Et réessaye le scan.

Si cela ne fonctionne toujours pas, autre possibilité

Panda
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

ou

BitDefender
http://www.bitdefender.fr/scan8/ie.html

Bonjour

Ce qui est nouveau depuis hier:
- kaspersky est en train de scanner; 71% pour l'instant, mais on dirait que c'est en stand-by (ça fait plus de 5h que c'est commencé)
- aujourd'hui, je peux ouvrir mes disques depuis le poste de travail avec un double clic normalement; ce pb semble résolu
- Avast a trouvé un autre virus:

Fichier : C:\System Volume Information\_restore{5D7EB9F6-54A0-485A-86B8-13F23FF7E8F5}\RP257\A0027726.vbs

Logiciel malveillant : VBS:Solow

Type : Virus/Ver

Version VPS : 000739-3, 11/05/2007

Avec cette alerte, je ne peux plus rien faire (d'où peut-être le stand-by de kaspersky); quand je clique sur "mettre en quarantaine" comme conseillé, une nouvelle fenêtre d'alerte (identique) s'ouvre et le processus est infini.

So what?

Une autre précision: le fichier sur lequel kaspersky est arrêté est le même que le virus trouvé par avast.

Re

Il s'agit du sstème de restauration.
Fais ceci.

Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

Puis redémarrer l'ordinateur et faire l'opération inverse en décochant la case Désactiver la restauration systéme.

Et refais le scan avec Kaspersky.

Bonsoir,
Il est tard, mais je me permet de te donner une petite solution qui, je l espere, te sera plus efficace !
C est un tres bon fix pour le vers solow qui fait fureur en ce moment !

Va sur cette page :
http://www.softbkk.com/hacked_by_godzilla_remove_tools_,3,downloading/
Si le telechargement ne debute pas de lui meme, clique sur le lien "click here" en haut a droite.
Accepte le telechargement Nod32 Hacked By Godzilla[Butsur.A]-Fix.
Mets le sur ton bureau puis execute le.
Accepte la license et a la deuxieme fenetre clique sur "do it now".
Une fenetre s ouvre alors te demandant de scanner le peripherique, choisis "c:" (ou ton disque dur par default)
Une fois le scan finis, supprime les traces d inections puis clique sur "close".
Redemarre et dit gentillement au revoir au vilain Godzilla ^^ !

Voila, tiens moi au courant du resultat !

Bonsoir

Benj_mic, j'ai suivi tes conseils à la lettre; tout a l'air normal au redémarrage. Mais puis-je vraiment en être sûre?
Refaire le scan avec kaspersky comme le conseille chercheur est-il utile pour avoir l'assurance que tout est normal, même au-delà des apparences?

Quoi qu'il en soit, si tel est bien le cas, many thanks to both of you!

Est ce qu avast te signale toujours le virus MS32Dll.dll.vbs ?
Si ce n est plus le cas, et je l espere pour toi, cela signifie que tu n es plus infecté !
Au plaisir !;)

Avast ne me signale plus rien. Tout a l'air normal.

Encore merci!

Aucun probleme
Plaisir partagé !