Petit astucien | Bonjour, J'ai attrappé le virus "Win32:Small-JMH[TRj]" en cliquant bêtement sur le lien J'ai lu les autres discussions du forum et tenté de suivre les indications mais je n'ai pas l'impression qu'il existe une procédure type. Serait-il possible d'avoir un coup de main afin de soigner mon petit PC? Merci! | |||||||
Publicité | ||||||||
Petit astucien | http://forum.malekal.com/viewtopic.php?f=57&t=5468&sid=dd6a72ca627d20fa41df3788a4f7f9c4
en antivirus je te conseillerais de prendre antivir ou alors met ton actuel antivirus a jour et fais un scanne en mode sans echec | |||||||
Groupe Sécurité ![]() | ||||||||
Petit astucien | Merci du coup de main! Alors, voici le rapport de Hijack This
Logfile of Trend Micro HijackThis v2.0.2 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ -- | |||||||
Groupe Sécurité ![]() | plusieurs infections on commence 1/ Télécharge MSNFix.zip (de !aur3n7 et Regis59) sur le bureau : 2/
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix. Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité. 3/ Télécharge SDFix d’ Andy Manchesta sur ton bureau http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec Comment aller en Mode sans échec lettre C Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat Appuie sur Y pour commencer le nettoyage. Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, | |||||||
Petit astucien | Lorsque j'ai lancé MSN fix, il m'a indiqué ça "Sous MS-DOS 16 bits MSNFix - menu Le processeur NTVDM a rencontré une instruction non autotisée. CS:0868 IP:0105 OP:fe eb 01 46 46 Choisissez 'fermer' pour mettre fin à l'application."
Puis j'avais "Fermer" et "Ignorer" J'ai fermé, dois je ignorer pour continuer les procédures? | |||||||
Groupe Sécurité ![]() | fais la suite, on verra ensuite pour MSNFix | |||||||
Petit astucien | Bonjour, Alors voici le rapport de la première étape: MSNFix 1.677
Maintenant je continue avec la seconde... | |||||||
Groupe Sécurité ![]() | ![]() | |||||||
Publicité | ||||||||
Petit astucien | Voici la seconde étape avec Smitfaudfix: SmitFraudFix v2.300 Rapport fait à 11:06:17,05, 07/03/2008 »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix
VACFix
SrchSTS.exe by S!Ri
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
»»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets HKLM\SYSTEM\CCS\Services\Tcpip\..\{5030DD39-81E8-4A34-A0C7-09A593365AEF}: DhcpNameServer=192.168.1.1
Je passe à l'étape 3... | |||||||
Petit astucien | Et voici le rapport de FDFix :
Run by utilisateur on 07/03/2008 at 11:48 Microsoft Windows XP [version 5.1.2600] Checking Services :
Rebooting
Trojan Files Found: C:\WINDOWS\SYSTEM32\TASKKILL.EXE - Deleted
Removing Temp Files ADS Check :
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ...
Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files :
Files with Hidden Attributes : Wed 22 Mar 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Finished!
Et voilà | |||||||
Groupe Sécurité ![]() | bon travail! un rapport hijack this stp je suis de retour vers 18 h | |||||||
Petit astucien | Ok à tout à l'heure. Voici le rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ -- Merci | |||||||
Groupe Sécurité ![]() | on continue
Télécharge combofix.exe (par sUBs) sur ton Bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite. Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse NOTE : Le rapport se trouve également ici : C:\Combofix.txt
| |||||||
Petit astucien | Voici le rapport de Combofix : ComboFix 08-03-07.1 - utilisateur 2008-03-07 17:30:59.1 - NTFSx86 [color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color] (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\winupdates . 2008-03-07 11:45 . 2008-03-07 11:45 <REP> d-------- C:\WINDOWS\ERUNT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE4941AD-D401-5D4F-2ED2-2CA7711BED96}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] R2 HS00G3H8;HS00G3H8;C:\WINDOWS\System32\Drivers\XFLC7XZR.sys [2006-08-23 04:28] . catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès ************************************************************************** | |||||||
Groupe Sécurité ![]() |
Clique sur ce lien : et enregistre-le sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Télécharge LopXPMH sur ton Bureau. http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip Dézippe-le et double clique sur le fichier lopxpMH.bat.
| |||||||
Petit astucien | Navilog m'a donné ça : Search Navipromo version 3.5.0 commencé le 07/03/2008 à 18:07:16,78 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! Outil exécuté depuis C:\Program Files\navilog1
Executé en mode normal *** Recherche Programmes installés ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\menudm~1\progra~1" ***
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch *** * Recherche dans C:\WINDOWS\system32 * * Recherche dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *
*** Recherche fichiers ***
1)Recherche nouveaux fichiers Instant Access :
* Dans C:\WINDOWS\system32 : mfoviy.exe trouvé ! * Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" :
Certificat Egroup absent ! 4)Recherche fichiers connus :
*** Analyse terminée le 07/03/2008 à 18:13:41,38 *** Je continue avec le second | |||||||
Publicité | ||||||||
Groupe Sécurité ![]() | tu feras ceci
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Démarrer > Panneau de configuration > Options Internet
| |||||||
Petit astucien | Et le rapport de lopxpMH2 : Rapport lopxpMH2 version 2.0 fait à 18:16:46,40 le 07/03/2008 ****************************************** Le volume dans le lecteur C n'a pas de nom. Répertoire de C:\Documents and Settings\All Users\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\Default User\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\LocalService\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\NetworkService\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\utilisateur\Application Data 09/12/2005 13:45 <REP> . Répertoire de C:\Documents and Settings\utilisateur\Local Settings\Application Data 09/12/2005 13:45 <REP> . Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 24/01/2005 12:46 <REP> . Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 24/01/2005 12:46 <REP> . ******************************************
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job C:\WINDOWS\Tasks\Symantec ****************************************** Le volume dans le lecteur C n'a pas de nom. Répertoire de C:\Program Files 07/03/2008 18:04 <REP> . ****************************************** * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\UTILISATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\Y20D6R8U.DEFAULT\HOSTPERM.1 ****************************************** * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ****************************************** * HKCU Domains (4) * P3P History (5) ******************************************
| |||||||
Groupe Sécurité ![]() | Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe clic double sur OTMoveIt.exe pour le lancer.
et colle-la dans le cadre de gauche de OTMoveIt2 : Paste standard List of Files/Folders to be moved. copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt2 : Past Custom List of Files/Folders to be moved. clique sur MoveIt! pour lancer la suppression.
Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows. Cliquer sur Outils > Options des dossiers > Affichage. Sélectionner : cocher : Afficher les fichiers et dossiers cachés. décocher : Masquer les extensions des fichiers dont le type est connu. décocher : Masquer les fichiers protégés du système d'exploitation (recommandé) Cliquer sur Appliquer et Ok Cliquer sur ce lien Et teste ceci: C:\WINDOWS\system32\jjsrrc.exe Cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s). Cliquer sur Send File Au message Sending File, ne pas fermer cette fenêtre. Si vous avez un message Current Statue: queued : Patience! Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finished Faire un copier/coller du résultat et postez-le dans votre prochain message. recommence avec C:\WINDOWS\system32\svvjqe.exe Tu recaches tes fichiers dossiers décocher : Afficher les fichiers et dossiers cachés. recocher : Masquer les extensions des fichiers dont le type est connu. cocher : Masquer les fichiers protégés du système d'exploitation (recommandé) Cliquer sur Appliquer et Ok
| |||||||
Petit astucien | J'ai un souci avec OTMoveIt.exe, quand je clic sur "MoveIt", il ne répond plus et il n'y a pas de rapport. | |||||||
Petit astucien | Je viens d'essayer encore une fois la manip sans copier la seconde ligne du deuxième copier/coller, et ça n'a pas planté cette fois et j'ai un rapport. Est-ce bon? Voici le rapport : File/Folder C:\Documents and Settings\utilisateur\Application Data\1 Mfcd not found. Je passe à la suite de la procédure en espérant que cette étape ait bien fonctionné. | |||||||
Petit astucien | Concernant la dernière étape, le fichier jjsrrc.exe n'existe pas mais je retrouve bien le second. Je n'ai pas poursuivie pour l'instant car je ne sais pas si tout se passe comme ca devrait. Merci de me confirmer ça | |||||||
Groupe Sécurité ![]() | lorsque tu auras le rapport de virus total, tu me remettras aussi un rapport lopxpmh pour contrôle et un rapport hijack this j'aimerais bien aussi avoir le rapport de Navilog option2
| |||||||
Petit astucien | Rapport de Virus Total pour svvjqe.exe : 0 bytes size received / Se ha recibido un archivo vacio
Rapport de lopxpMH2 : Rapport lopxpMH2 version 2.0 fait à 22:09:01,43 le 07/03/2008 ****************************************** Le volume dans le lecteur C n'a pas de nom. Répertoire de C:\Documents and Settings\All Users\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\Default User\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 24/01/2005 13:32 <REP> . Répertoire de C:\Documents and Settings\LocalService\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\NetworkService\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 24/01/2005 12:47 <REP> . Répertoire de C:\Documents and Settings\utilisateur\Application Data 09/12/2005 13:45 <REP> . Répertoire de C:\Documents and Settings\utilisateur\Local Settings\Application Data 09/12/2005 13:45 <REP> . Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 24/01/2005 12:46 <REP> . Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 24/01/2005 12:46 <REP> . ******************************************
C:\WINDOWS\Tasks\Symantec ****************************************** Le volume dans le lecteur C n'a pas de nom. Répertoire de C:\Program Files 07/03/2008 18:04 <REP> . ****************************************** * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\UTILISATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\Y20D6R8U.DEFAULT\HOSTPERM.1 ****************************************** * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ****************************************** * HKCU Domains (4) * P3P History (5) ******************************************
Rapport de Hijack This : Logfile of Trend Micro HijackThis v2.0.2 Running processes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ --
Et le rapport de Navilog : Search Navipromo version 3.5.0 commencé le 07/03/2008 à 22:14:29,09 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! Outil exécuté depuis C:\Program Files\navilog1
Executé en mode normal *** Recherche Programmes installés ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\menudm~1\progra~1" ***
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch *** * Recherche dans C:\WINDOWS\system32 * * Recherche dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *
*** Recherche fichiers ***
1)Recherche nouveaux fichiers Instant Access :
* Dans C:\WINDOWS\system32 : mfoviy.exe trouvé ! * Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" :
Certificat Egroup absent ! 4)Recherche fichiers connus :
*** Analyse terminée le 07/03/2008 à 22:25:21,10 ***
Et voila! | |||||||
Groupe Sécurité ![]() | Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Démarrer > Panneau de configuration > Options Internet poste le rapport obtenu et un rapport hijack this
| |||||||
Publicité | ||||||||