× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Virus, impossible ouvrir sans mode sans echec
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
fredlep4
  Posté le 08/11/2008 @ 10:45 
Aller en bas de la page 
Petit astucien

Bonjour à tous

J'ai un souci de virus, pendant plusieurs jours j'avais un icone dans la barre des taches (un genre de logiciel windows, immitation) qui s'ouvrait et me disait que mon pc était infecté etc. Je pense que ce "logiciel" était le virus. Et la impossible de démarrer windows sans passer en mode sans echec. Auriez vous une idée ??

merci d'avance

Publicité
fredlep4
 Posté le 08/11/2008 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai retrouver ledit logiciel, c'est XP antispyware 2009

chrifleur
 Posté le 08/11/2008 à 10:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

bonjour et bienvenue

  • Télécharger smitfraudfix (de S!Ri) sur le bureau.
  • Clique sur smitfraudfix.exe
  • Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-note qui s’ouvre.
  • Ferme l'application en tapant sur la touche Q.
fredlep4
 Posté le 08/11/2008 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
chrifleur a écrit :

bonjour et bienvenue

  • Télécharger smitfraudfix (de S!Ri) sur le bureau.
  • Clique sur smitfraudfix.exe
  • Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-note qui s’ouvre.
  • Ferme l'application en tapant sur la touche Q.

merci je le fait tout de suite

fredlep4
 Posté le 08/11/2008 à 10:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
fredlep4 a écrit :
chrifleur a écrit :

bonjour et bienvenue

  • Télécharger smitfraudfix (de S!Ri) sur le bureau.
  • Clique sur smitfraudfix.exe
  • Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-note qui s’ouvre.
  • Ferme l'application en tapant sur la touche Q.

merci je le fait tout de suite

je l'ai télécharger sur un autre pc et ajouter sur le pc infecté en mode sans echec et quand je clique il me met, des fichers d'installation sont corrompis.

chrifleur
 Posté le 08/11/2008 à 11:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

essaie de démarrer en mode sans échec avec prise en charge réseau

retélécharge SmitFraudFix et essaie à nouveau

chrifleur
 Posté le 08/11/2008 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

si tu n'y arrives toujours pas essaie ceci

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
***Si le lien ne fonctionne pas, essaie celui-ci :

http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (F5 sur certains PC), une pression par seconde.
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Il est possible que l'outil demande un nouveau redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 (ou F5) au redémarrage pour accéder aux options de démarrage.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

fredlep4
 Posté le 08/11/2008 à 11:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
chrifleur a écrit :

essaie de démarrer en mode sans échec avec prise en charge réseau

retélécharge SmitFraudFix et essaie à nouveau

SmitFraudFix v2.373

Rapport fait à 10:43:00,39, 08/11/2008
Executé à partir de C:\Documents and Settings\Fred\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Fred\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\default.htm PRESENT !
C:\WINDOWS\karna.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe PRESENT !
C:\WINDOWS\system32\karna.dat PRESENT !
C:\WINDOWS\system32\winfrun32.bin PRESENT !
C:\WINDOWS\system32\_scui.cpl PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fred


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fred\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fred\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fred\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK

C:\WINDOWS\system32\drivers\beep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Gigabyte GN-WP01GT (mini) PCI WLAN Card - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EF4BCE7F-EE0A-4C91-8762-1562B7376747}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EF4BCE7F-EE0A-4C91-8762-1562B7376747}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EF4BCE7F-EE0A-4C91-8762-1562B7376747}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

chrifleur
 Posté le 08/11/2008 à 11:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Double clique sur SmitfraudFix.exe

Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste ce rapport

ensuite tu fais aussi la manip avec SDFix pour parfaire le nettoyage et tu me postes les rapports demandés

Publicité
fredlep4
 Posté le 08/11/2008 à 19:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
chrifleur a écrit :

Double clique sur SmitfraudFix.exe

Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste ce rapport

ensuite tu fais aussi la manip avec SDFix pour parfaire le nettoyage et tu me postes les rapports demandés

Merci beaucoup pour le temps que vous passez à m'aider, le PC maintenant s'allume bien sans passer par sans echec. Mais c'est encore un peut le boxon

rapport SDFIX


SDFix: Version 1.240
Run by Fred on 08/11/2008 at 13:21

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\TDSSmaxt.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

tdssserv - Deleted

Restoring Default Security Values
Restoring Default Hosts File
Resetting AppInit_DLLs value


Rebooting


Infected beep.sys Found!

beep.sys File Locations:

"C:\WINDOWS\system32\dllcache\beep.sys" 28160 30/10/2008 09:07
"C:\WINDOWS\system32\drivers\beep.sys" 4224 28/08/2001 13:00

Infected File Listed Below:

C:\WINDOWS\system32\dllcache\beep.sys

File copied to Backups Folder
Attempting to replace beep.sys with original version


Original beep.sys Restored

"C:\WINDOWS\system32\dllcache\beep.sys" 4224 07/08/2008 15:27
"C:\WINDOWS\system32\drivers\beep.sys" 4224 07/08/2008 15:27

Checking Files :

Trojan Files Found:

C:\WINDOWS\FLEOK\180ax.exe - Deleted
C:\Program Files\seekmo\seekmohook.dll - Deleted
C:\Program Files\Sysmnt\Ssmgr.exe - Deleted
C:\Documents and Settings\All Users\Documents\uqirixityz.scr - Deleted
C:\WINDOWS\system32\wini10806.exe - Deleted
C:\Documents and Settings\Fred\Application Data\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk - Deleted
C:\WINDOWS\123messenger.per - Deleted
C:\WINDOWS\180ax.exe - Deleted
C:\WINDOWS\2020search.dll - Deleted
C:\WINDOWS\2020search2.dll - Deleted
C:\WINDOWS\apphelp32.dll - Deleted
C:\WINDOWS\asferror32.dll - Deleted
C:\WINDOWS\asycfilt32.dll - Deleted
C:\WINDOWS\athprxy32.dll - Deleted
C:\WINDOWS\ati2dvaa32.dll - Deleted
C:\WINDOWS\ati2dvag32.dll - Deleted
C:\WINDOWS\audiosrv32.dll - Deleted
C:\WINDOWS\autodisc32.dll - Deleted
C:\WINDOWS\avifile32.dll - Deleted
C:\WINDOWS\avisynthex32.dll - Deleted
C:\WINDOWS\aviwrap32.dll - Deleted
C:\WINDOWS\bjam.dll - Deleted
C:\WINDOWS\bokja.exe - Deleted
C:\WINDOWS\brastk.exe - Deleted
C:\WINDOWS\browserad.dll - Deleted
C:\WINDOWS\cdsm32.dll - Deleted
C:\WINDOWS\changeurl_30.dll - Deleted
C:\WINDOWS\didduid.ini - Deleted
C:\WINDOWS\Installer\id53.exe - Deleted
C:\WINDOWS\licencia.txt - Deleted
C:\WINDOWS\msa64chk.dll - Deleted
C:\WINDOWS\msapasrc.dll - Deleted
C:\WINDOWS\mspphe.dll - Deleted
C:\WINDOWS\mssvr.exe - Deleted
C:\WINDOWS\ntnut.exe - Deleted
C:\WINDOWS\saiemod.dll - Deleted
C:\WINDOWS\salm.exe - Deleted
C:\WINDOWS\shdocpe.dll - Deleted
C:\WINDOWS\shdocpl.dll - Deleted
C:\WINDOWS\stcloader.exe - Deleted
C:\WINDOWS\system32\delself.bat - Deleted
C:\WINDOWS\system32\diperto.ini - Deleted
C:\WINDOWS\system32\karna.dat - Deleted
C:\WINDOWS\system32\MSIXU.DLL - Deleted
C:\WINDOWS\system32\MSNSA32.dll - Deleted
C:\WINDOWS\system32\ntnut32.exe - Deleted
C:\WINDOWS\system32\shdocpe.dll - Deleted
C:\WINDOWS\system32\SIPSPI32.dll - Deleted
C:\WINDOWS\system32\WER8274.DLL - Deleted
C:\WINDOWS\telefonos.txt - Deleted
C:\WINDOWS\textos.txt - Deleted
C:\WINDOWS\updatetc.exe - Deleted
C:\WINDOWS\voiceip.dll - Deleted
C:\WINDOWS\winsb.dll - Deleted
C:\WINDOWS\system32\drivers\TDSSmaxt.sys - Deleted
C:\WINDOWS\system32\TDSSoeqh.dll - Deleted
C:\WINDOWS\system32\TDSSnrsr.dll - Deleted
C:\WINDOWS\system32\TDSSriqp.dll - Deleted
C:\WINDOWS\system32\TDSScfub.dll - Deleted
C:\WINDOWS\system32\TDSSfpmp.dll - Deleted
C:\WINDOWS\system32\TDSSsbhc.dll - Deleted
C:\WINDOWS\system32\TDSSthym.dll - Deleted
C:\WINDOWS\system32\TDSSoiqh.dll - Deleted
C:\WINDOWS\system32\TDSSliqp.dll - Deleted
C:\WINDOWS\system32\TDSSciou.dll - Deleted
C:\WINDOWS\system32\TDSSnmxh.dll - Deleted
C:\WINDOWS\system32\TDSSsbhc.dll - Deleted
C:\WINDOWS\system32\TDSSosvn.dat - Deleted
C:\WINDOWS\system32\TDSSnrse.dat - Deleted
C:\WINDOWS\system32\TDSSnmxh.log - Deleted
C:\WINDOWS\system32\TDSSvvbi.log - Deleted

Folder C:\Program Files\seekmo - Removed
Folder C:\Program Files\Sysmnt - Removed
Folder C:\WINDOWS\FLEOK - Removed


Removing Temp Files

ADS Check :


Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-08 13:31:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSnrse.dat"
"tdssmain"="\systemroot\system32\TDSSliqp.dll"
"tdsslog"="\systemroot\system32\TDSSciou.dll"
"tdssadw"="\systemroot\system32\TDSSnmxh.dll"
"tdssinit"="\systemroot\system32\TDSSsbhc.dll"
"tdssurls"="\systemroot\system32\TDSSthym.log"
"tdsspanels"="\systemroot\system32\TDSStkdv.dll"
"tdsserrors"="\systemroot\system32\TDSSbubx.log"
"TDSSproc"="\systemroot\system32\TDSSvvbi.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSmaxt.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\drivers\TDSSpqxt.sys 50688 bytes executable
C:\Documents and Settings\Fred\Local Settings\Temp\TDSSae3e.tmp 118784 bytes executable
C:\Documents and Settings\Fred\Local Settings\Temp\TDSSae4e.tmp 685056 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 3


Remaining Services :


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\lxdicoms.exe"="C:\\WINDOWS\\system32\\lxdicoms.exe:*:Enabled:Lexmark Communications System"
"C:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"="C:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe:*:Enabled:Lexmark Device Monitor"
"C:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"="C:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe:*:Enabled:Lexmark Imaging Studio"
"C:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"="C:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe:*:Enabled:ABBYY FineReader"
"C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"="C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe:*:Enabled:Fax software"
"C:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"="C:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe:*:Enabled:Device Monitor"
"C:\\Documents and Settings\\Fred\\Local Settings\\Temp\\lxdi\\wireless\\FRENCH\\lxdiwpss.exe"="C:\\Documents and Settings\\Fred\\Local Settings\\Temp\\lxdi\\wireless\\FRENCH\\lxdiwpss.exe:*:Enabled: "
"C:\\WINDOWS\\system32\\lxdicfg.exe"="C:\\WINDOWS\\system32\\lxdicfg.exe:*:Enabled:Printer Communication System"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe:*:Enabled:Printer Status Window Interface"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe:*:Enabled:Lexmark Connect Time Executable"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe:*:Enabled:Job Status Window Interface"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe:*:Enabled:Lexmark Web Gateway"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Documents and Settings\\Fred\\Bureau\\installer-K-Lite-Codec-Pack-Full-French.exe"="C:\\Documents and Settings\\Fred\\Bureau\\installer-K-Lite-Codec-Pack-Full-French.exe:*:Enabled:installer-K-Lite-Codec-Pack-Full-French"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Lexmark 3500-4500 Series\\app4r.exe"="C:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe:*:Enabled:Lexmark Imaging Studio"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

C:\WINDOWS\system32\TDSSsbhc.dll Found
C:\WINDOWS\system32\TDSSoiqh.dll Found
C:\WINDOWS\system32\TDSSliqp.dll Found
C:\WINDOWS\system32\TDSSciou.dll Found
C:\WINDOWS\system32\TDSSnmxh.dll Found
C:\WINDOWS\system32\TDSSsbhc.dll Found
C:\WINDOWS\system32\TDSSnrse.dat Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 30 Mar 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 22 Feb 2006 20,992 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL0263.tmp"
Sun 3 Dec 2006 23,040 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL0563.tmp"
Sun 22 Jan 2006 24,064 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL0874.tmp"
Sun 22 Jan 2006 20,992 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL1110.tmp"
Sun 3 Dec 2006 23,552 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL1299.tmp"
Mon 5 Jun 2006 20,992 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL2380.tmp"
Sat 6 Jan 2007 114,176 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL2476.tmp"
Sat 6 Jan 2007 24,576 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL3009.tmp"
Sun 22 Jan 2006 24,576 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL3091.tmp"
Mon 5 Jun 2006 20,992 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL3353.tmp"
Sun 22 Jan 2006 19,968 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL3488.tmp"
Sat 6 Jan 2007 29,184 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\~WRL3802.tmp"
Sun 23 Sep 2007 67,584 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL0326.tmp"
Mon 2 Jan 2006 24,576 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL0358.tmp"
Sun 23 Sep 2007 27,136 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL1187.tmp"
Sun 23 Sep 2007 82,432 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL1703.tmp"
Mon 5 Dec 2005 25,600 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL2670.tmp"
Sun 23 Sep 2007 105,984 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL3155.tmp"
Sun 23 Sep 2007 48,128 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL3619.tmp"
Fri 7 Oct 2005 27,648 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL3705.tmp"
Sun 23 Sep 2007 33,792 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CP\~WRL3762.tmp"
Sat 3 Dec 2005 36,352 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CE1CE2\~WRL0156.tmp"
Sun 19 Mar 2006 73,728 A..H. --- "C:\Documents and Settings\Fred\Bureau\mel\doc gwendoline\cours CP CE1 CE2\cours CE1CE2\~WRL3875.tmp"

Finished!

fredlep4
 Posté le 08/11/2008 à 19:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
chrifleur a écrit :

Double clique sur SmitfraudFix.exe

Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste ce rapport

ensuite tu fais aussi la manip avec SDFix pour parfaire le nettoyage et tu me postes les rapports demandés

rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:55:03, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Cole2k Media Toolbar Helper - {5499BCB1-5641-4A4C-9F75-462D4D8D0DA0} - C:\Program Files\Cole2k Media Toolbar\v3.3.0.1\Cole2k_Media_Toolbar.dll
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)
O3 - Toolbar: Cole2k Media Toolbar - {8AE33802-00D3-4F1B-B5C7-6FEE34E402CE} - C:\Program Files\Cole2k Media Toolbar\v3.3.0.1\Cole2k_Media_Toolbar.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Registration-PCTV.lnk = C:\Program Files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe

chrifleur
 Posté le 09/11/2008 à 10:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

le rapport SmitFraudFix stp?

lance hijack this pour un scan hors internet et toutes applications fermées et coche ces lignes

O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)

clique sur fix checked

suis ce tutoriel et poste le rapport obtenu

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
53,92 €Carte mémoire microSDXC UHS-I SanDisk Ultra 400 Go à 53,92 € livrée
Valable jusqu'au 24 Septembre

Amazon Allemagne propose la carte mémoire microSDHC UHS-I SanDisk Ultra 400 Go à 49,42 € (avec la TVA ajustée). Comptez 4,50 € pour la livraison en France, soit un total de 53,92 € livrée en France. On la trouve trouve ailleurs à partir de 80 €. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD. Elle est certifiée GoPro, Nintendo Switch et est accompagnée d'un adaptateur SD.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douanes. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
399,99 €PlayStation 5 Digital Edition à 399,99 € [Précommande]
Valable jusqu'au 21 Septembre

La PS5 sans lecteur de disque sortira le 19 Novembre en France. Il est d'ores et déjà possible de la précommander pour être certains d'avoir son exemplaire à la sortie. La disponibilité étant limitée, régardez régulièrement sur BoulangerAmazon, FnacCdiscount.


> Voir l'offre
27,24 €Perceuse/visseuse sans fil TACKLIFE PCD03B 12V 2 bat. 2 Ah + malette à 27,24 € avec le code X7XXMREY
Valable jusqu'au 21 Septembre

Amazon propose la perceuse visseuse sans fil TACKLIFE PCD03B 12 V avec 2 batteries Li-ion 2000 mAh (avec chargeur rapide), 19 vitesses de couple, son mandrin auto-serrant, sa malette et ses 14 accessoires à 27,24 € seulement au lieu de 55 €. Pour profiter de cette offre, cochez la case Coupon Utiliser le coupon de réduction de 5% sur la page du produit et utilisez le code promo X7XXMREY sur la page de paiement. Le prix passera à 27,24 € sur la page de confirmation de commande. La livraison est gratuite.


> Voir l'offre

Sujets relatifs
virus impossible à nettoyer en mode sans échec
Suspicion de virus, mode sans echec avec reseau
Virus oilice nationale, pas possible de rentrer en mode sans echec
Virus Ukash Mode sans echec indisponible
impossible de demarrer en mode sans echec
mode sans échec sans virus
Analyse anti-virus > mode sans échec ou pas ?
Accès au mode sans échec impossible+message BIOS
mode sans echec impossible
Impossible d'accéder mode sans echec
Plus de sujets relatifs à Virus, impossible ouvrir sans mode sans echec
 > Tous les forums > Forum Sécurité