> Tous les forums > Forum Sécurité
 Virus : bureau modif+faux anti-virus PART1
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
pierre_pierre
  Posté le 26/06/2008 @ 19:33 
Aller en bas de la page 
Nouvel astucien
Bonjour à toutes et à tous,

Sujet malheureusement récurent sur ce forum : mon ordi est (sérieusement) infecté !!!

Les symptômes :

- Un message qui s affiche constamment dans ma barre de taches , me disant que mon ordi est sûrement victime de spyware et m invite donc a télécharger ou a cliquer sur tel ou tel lien

- Un fond d écran changé (bleu) avec marqué : « vous etes victime d un spyware ….cliquez ici pour résoudre ….. »

-plein plein de pops ups divers et variés

-Mon ctrl alt supr / gestionnaire des taches était meme bloqué : « vous n avez pas les privilèges utilisateurs »

- Après scan avec avast (antivirus) : « mémoire infectée « + au moins une vingtaine de trojans , virus , spywares et autres saloperies !!!

J ai donc parcouru ce forum avant de venir vous embéter à mon tour , j ai trouvé certains cas qui ressemblait au mien et ai donc fait les étapes GENPROC …..

Il y a eu une légère amélioration même si de nombreux problèmes persistent L

Je vous ai posté ci-dessous l ensemble de la procédure Genproc avec ce que j ai pu faire ou non (en gros tout sauf VUNDOFIX) ,

A la fin de ce message je vous ai mis l évolution de ma bécane après cette procédure …

J espère que vous pourrez trouver une solution à mon problème (en tout cas merci pour les autres posts qui sont très clairs et faciles à comprendre),

MERCI MILLE FOIS DE VOTRE AIDE,

Hesitez pas si il manque des éléments …

Pierre

Rapport GenProc 1.972 [1] effectué le 20/06/2008 à 19:38:25,56 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. Ok

# Etape 1/ Télécharge :

- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

lien ne marche pas donc http://www.atribune.org/public-beta/ OK

Publicité
pierre_pierre
 Posté le 26/06/2008 à 19:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

SUITE

- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau OK

- SmitfrauFix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe OK CI DESSOUS* double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

SmitFraudFix v2.328

Rapport fait à 19:52:53,96, 20/06/2008

Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\System32\iftuyszv.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\VTtrayp.exe

C:\WINDOWS\System32\VTTimer.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\Rundll32.exe

C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Software Informer\softinfo.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Documents and Settings\Pierre\Bureau\SmitfraudFix\Policies.exe

C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\accesss.exe PRESENT !

C:\WINDOWS\astctl32.ocx PRESENT !

C:\WINDOWS\avpcc.dll PRESENT !

C:\WINDOWS\clrssn.exe PRESENT !

C:\WINDOWS\cpan.dll PRESENT !

C:\WINDOWS\iexplorer.exe PRESENT !

C:\WINDOWS\loader.exe PRESENT !

C:\WINDOWS\mtwirl32.dll PRESENT !

C:\WINDOWS\notepad32.exe PRESENT !

C:\WINDOWS\olehelp.exe PRESENT !

C:\WINDOWS\systeem.exe PRESENT !

C:\WINDOWS\systemcritical.exe PRESENT !

C:\WINDOWS\time.exe PRESENT !

C:\WINDOWS\users32.exe PRESENT !

C:\WINDOWS\waol.exe PRESENT !

C:\WINDOWS\win32e.exe PRESENT !

C:\WINDOWS\win64.exe PRESENT !

C:\WINDOWS\winajbm.dll PRESENT !

C:\WINDOWS\window.exe PRESENT !

C:\WINDOWS\winmgnt.exe PRESENT !

C:\WINDOWS\x.exe PRESENT !

C:\WINDOWS\xplugin.dll PRESENT !

C:\WINDOWS\xxxvideo.hta PRESENT !

C:\WINDOWS\y.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pierre\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\System32\\iftuyszv.exe,"

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

- SDfix (Andy Manchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans C:\. OK

- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau. OK

- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. OK MAIS SIGNALE COMME MALVAILLANT PAR 1 OU 2 UTILISATEUR

***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Pierre") ***** OK

pierre_pierre
 Posté le 26/06/2008 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

SUITE 2

# Etape 2/

Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente. OK CI-DESSOUS

Système d'exploitation : Windows [XP ]

Purity[0.7] lancé [1] fois! le 20/06/2008 à 20:05:30,32

Fix lancé en mode sans echec.

Liste des éléments rencontrés au cours de la Recherche...

C:\Documents and Settings\Pierre\Application Data\SMBOLS~1

C:\Program Files\Outerinfo

fichiers,dossiers sauvegardés dans C:\Documents and Settings\Pierre\Bureau\Purity\Purity40.zip

Fin du rapport

# Etape 3/

  • Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique

IMPOSSIBLE DE LANCER CAR PAS DE PROG APPROPRIE ?????

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

  • Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra. OK CI-DESSOUS

ComboFix 08-06-19.4 - Pierre 2008-06-20 20:10:48.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.1224 [GMT 2:00]

Endroit: C:\Documents and Settings\Pierre\Bureau\ComboFix.exe

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\AntiSpywareMaster

C:\Program Files\AntiSpywareMaster\asm.exe

C:\Program Files\Hotbar

C:\Program Files\network monitor

C:\Program Files\SpyMaxx

C:\Program Files\SpyMaxx\SpyMaxx.exe.MANIFEST

C:\Program Files\SpyMaxx\stat.bin

C:\Program Files\SpyMaxx\uninstall.exe

C:\Program Files\SpyMaxx\uninstall.log

C:\WINDOWS\accesss.exe

C:\WINDOWS\astctl32.ocx

C:\WINDOWS\avpcc.dll

C:\WINDOWS\BM8bb515e2.xml

C:\WINDOWS\clrssn.exe

C:\WINDOWS\cookies.ini

C:\WINDOWS\cpan.dll

C:\WINDOWS\ctfmon32.exe

C:\WINDOWS\ctrlpan.dll

C:\WINDOWS\directx32.exe

C:\WINDOWS\dnsrelay.dll

C:\WINDOWS\editpad.exe

C:\WINDOWS\explore.exe

C:\WINDOWS\explorer32.exe

C:\WINDOWS\funniest.exe

C:\WINDOWS\funny.exe

C:\WINDOWS\gfmnaaa.dll

C:\WINDOWS\helpcvs.exe

C:\WINDOWS\iedll.exe

C:\WINDOWS\iexplorer.exe

C:\WINDOWS\inetinf.exe

C:\WINDOWS\internet.exe

C:\WINDOWS\lfn.exe

C:\WINDOWS\loader.exe

C:\WINDOWS\mainms.vpi

C:\WINDOWS\megavid.cdt

C:\WINDOWS\msconfd.dll

C:\WINDOWS\msspi.dll

C:\WINDOWS\mssys.exe

C:\WINDOWS\msupdate.exe

C:\WINDOWS\mswsc10.dll

C:\WINDOWS\mswsc20.dll

C:\WINDOWS\mtwirl32.dll

C:\WINDOWS\muotr.so

C:\WINDOWS\notepad32.exe

C:\WINDOWS\olehelp.exe

C:\WINDOWS\pskt.ini

C:\WINDOWS\qttasks.exe

C:\WINDOWS\quicken.exe

C:\WINDOWS\rundll16.exe

C:\WINDOWS\rundll32.vbe

C:\WINDOWS\searchword.dll

C:\WINDOWS\sistem.exe

C:\WINDOWS\svchost32.exe

C:\WINDOWS\svcinit.exe

C:\WINDOWS\systeem.exe

C:\WINDOWS\system32\AJlnnUtv.ini

C:\WINDOWS\system32\AJlnnUtv.ini2

C:\WINDOWS\system32\cbXQGVOf.dll

C:\WINDOWS\system32\cpifiwuo.dll

C:\WINDOWS\system32\fccdefed.dll

C:\WINDOWS\system32\fqhateoa.ini

C:\WINDOWS\system32\hljwugsf.bin

C:\WINDOWS\system32\mantec~1

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mipbwisc.ini

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\msnav32.ax

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\rBJikUtv.ini

C:\WINDOWS\system32\rBJikUtv.ini2

C:\WINDOWS\system32\tyafduou.dll

C:\WINDOWS\system32\vtUkiJBr.dll

C:\WINDOWS\system32\winpfz33.sys

C:\WINDOWS\system32\xqdmkkfm.ini

C:\WINDOWS\system32\yayxwUnN.dll

C:\WINDOWS\system32\zxdnt3d.cfg

C:\WINDOWS\systemcritical.exe

C:\WINDOWS\time.exe

C:\WINDOWS\users32.exe

C:\WINDOWS\waol.exe

C:\WINDOWS\win32e.exe

C:\WINDOWS\win64.exe

C:\WINDOWS\winajbm.dll

C:\WINDOWS\window.exe

C:\WINDOWS\winmgnt.exe

C:\WINDOWS\WW91eW91\

C:\WINDOWS\x.exe

C:\WINDOWS\xplugin.dll

C:\WINDOWS\xxxvideo.hta

C:\WINDOWS\y.exe

.

pierre_pierre
 Posté le 26/06/2008 à 19:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_CMDSERVICE

-------\Legacy_MSSECURITY1.209.4

-------\Legacy_NETWORK_MONITOR

-------\Service_cmdService

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-20 to 2008-06-20 ))))))))))))))))))))))))))))))))))))

.

2008-06-20 19:55 . 2008-06-20 11:55 <REP> d-------- C:\SDFix

2008-06-20 19:52 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-06-20 19:52 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-06-20 19:52 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-06-20 19:52 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-06-20 19:52 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-06-20 19:52 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe

2008-06-20 19:52 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-06-20 19:52 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-06-20 19:52 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-06-20 19:52 . 2008-06-20 19:52 2,852 --a------ C:\WINDOWS\system32\tmp.reg

2008-06-19 19:21 . 2008-06-19 19:21 80,384 --a------ C:\WINDOWS\system32\mfkkmdqx.dll

2008-06-19 18:29 . 2008-06-19 18:29 99,328 --a------ C:\WINDOWS\system32\pbxecinm.dll

2008-06-19 18:29 . 2008-06-19 18:29 90,112 --a------ C:\WINDOWS\system32\wpjnntsf.dll

2008-06-16 20:24 . 2008-06-20 20:36 2,022 --a------ C:\WINDOWS\system32\default.htm

2008-06-16 20:15 . 2008-06-16 20:15 13,502 --a------ C:\WINDOWS\system32\JambaIconFR.ico

2008-06-16 20:15 . 2008-06-16 20:15 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico

2008-06-16 20:00 . 2008-06-16 20:00 <REP> d-------- C:\WINDOWS\system32\netrax01

2008-06-16 20:00 . 2008-06-16 20:00 <REP> d-------- C:\WINDOWS\system32\MRI

2008-06-16 20:00 . 2008-06-19 21:20 <REP> d-------- C:\WINDOWS\system32\goc

2008-06-16 20:00 . 2008-06-17 19:54 <REP> d-------- C:\WINDOWS\system32\ert

2008-06-16 20:00 . 2008-06-16 20:36 <REP> d-------- C:\Temp

2008-06-16 20:00 . 2008-06-16 20:00 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris

2008-06-16 20:00 . 2008-06-16 20:00 687,592 --a------ C:\WINDOWS\system32\atmtd.dll._

2008-06-16 20:00 . 2008-06-16 20:00 687,592 --a------ C:\WINDOWS\system32\atmtd.dll

2008-06-16 20:00 . 2008-06-16 20:00 90,073 --a------ C:\WINDOWS\system32\iftuyszv.exe

2008-06-16 20:00 . 2006-01-03 17:45 1,989 --a------ C:\WINDOWS\uninstall_nmon.vbs

2008-06-16 14:36 . 2008-06-16 15:27 65 --a------ C:\WINDOWS\yesmessenger.ini

2008-06-16 14:34 . 2008-06-16 15:29 <REP> d-------- C:\Program Files\YesMessenger

2008-06-15 14:21 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys

2008-06-15 14:21 . 2001-08-17 20:12 19,017 --a--c--- C:\WINDOWS\system32\dllcache\rtl8029.sys

2008-06-08 04:13 . 2008-06-08 04:13 32,768 --a------ C:\WINDOWS\system32\netrax01\netrax011065.exe

2008-05-24 17:57 . 2008-05-24 17:57 <REP> d-------- C:\Documents and Settings\Pierre\Application Data\Acoustica

2008-05-24 17:55 . 2008-05-24 17:55 <REP> d-------- C:\Program Files\Acoustica Shared Effects

2008-05-23 20:04 . 2008-05-24 17:57 <REP> d-------- C:\Program Files\Acoustica Mixcraft 4

2008-05-23 20:04 . 2008-05-23 20:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Acoustica

2008-05-20 21:22 . 2008-05-20 21:22 <REP> d-------- C:\Program Files\Software Informer

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 18:16 31,232 ----a-w C:\WINDOWS\y.exe

2008-06-20 18:16 30,208 ----a-w C:\WINDOWS\window.exe

2008-06-20 18:16 28,416 ----a-w C:\WINDOWS\winmgnt.exe

2008-06-20 18:16 24,832 ----a-w C:\WINDOWS\x.exe

2008-06-20 18:16 11,264 ----a-w C:\WINDOWS\xplugin.dll

2008-06-20 18:01 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Free Download Manager

2008-06-16 13:29 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Skype

2008-06-01 18:04 --------- d-----w C:\Program Files\eMule

2008-05-28 17:50 --------- d-----w C:\Program Files\Alice

2008-05-20 19:23 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Software Informer

2008-04-25 16:43 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Snapfish

2007-02-22 18:21 16,368 ----a-w C:\Documents and Settings\Pierre\Application Data\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c5dc67f-a82f-44c4-aadc-fd14dc222ef0}]

2008-06-19 18:29 99328 --a------ C:\WINDOWS\System32\pbxecinm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F97414A8-685F-47A0-91E2-32BE1ED47AC2}]

C:\WINDOWS\System32\vtUnnlJA.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 18:51 57344]

"Free Download Manager"="C:\Program Files\Free Download Manager\fdm.exe" [2008-02-25 22:17 2465839]

"Software Informer"="C:\Program Files\Software Informer\softinfo.exe" [2008-05-20 00:16 1241157]

"fsm"="" []

"Casl"="C:\DOCUME~1\Pierre\APPLIC~1\SMBOLS~1\userinit.exe" [ ]

"Imnrb"="C:\WINDOWS\system32\??mantec\?hkntfs.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57 81408]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-09-26 16:49 35328]

"VTTrayp"="VTtrayp.exe" [2005-03-11 11:33 147456 C:\WINDOWS\system32\VTTrayp.exe]

"VTTimer"="VTTimer.exe" [2005-03-07 21:33 53248 C:\WINDOWS\system32\VTTimer.exe]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-09-07 22:08 180269]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 18:50 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"Cmaudio"="cmicnfg.cpl,CMICtrlWnd" []

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 07:24 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 15:42 267064]

"8886267e"="C:\WINDOWS\System32\mfkkmdqx.dll" [2008-06-19 19:21 80384]

"BM8bb515e2"="C:\WINDOWS\System32\wpjnntsf.dll" [2008-06-19 18:29 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2003-06-18 17:17 54472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.MJPG"= pvmjpg21.dll

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\85.tmp []

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-02-19 19:01:40 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-06-20 18:38:39 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-20 20:38:55

Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

"ImagePath"="\??\C:\WINDOWS\TEMP\85.tmp"

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\System32\mfkkmdqx.dll

-> C:\WINDOWS\System32\wpjnntsf.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\Program Files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-20 20:44:07 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-20 18:44:01

Pre-Run: 14,610,190,336 octets libres

Post-Run: 20,204,150,784 octets libres

245

pierre_pierre
 Posté le 26/06/2008 à 19:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

DERNIERE PART

# Etape 4/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau. OK CI-DESSOUS

SmitFraudFix v2.328

Rapport fait à 20:51:26,09, 20/06/2008

Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

# Etape 5/

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. OK LE FOND D ECRAN VIRUS EST PARTI

# Etape 6/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. message : L UTILISATION SE FAIT A VOS RISQUES ET PERILS

- Exécute l'option R.

- Si l'infection est détectée, exécute l'option N.

- Sauvegarde ce rapport sur ton bureau. REDEMARRAGE OK , RAPPORT CI-DESSOUS

MSNFix 1.725

C:\Documents and Settings\Pierre\Bureau\MSNFix

Fix exécuté le 20/06/2008 - 21:49:15,68 By Pierre

mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\tmp.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

Aucun Fichier trouvé

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 20062008_21520439.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

# Etape 7/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. OK NETTOYAGE COMPLET - (50.600 secs)

------------------------------------------------------------------------------------------

68,8MB supprimés.

# Etape 8/

Redémarre normalement et poste, dans la même réponse :

- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;

- Le contenu du rapport situé dans C:\vundofix.txt ;

- Le contenu du rapport situé dans C:\Combofix.txt ;

- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;

- Le contenu du fichier Report.txt ;

- Le contenu du rapport MSNfix situé sur le Bureau ;

- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

COMMENTAIRES /

AMELIORATIONS :

-GESTIONNAIRE DES TACHES AUPARAVANT BLOQUE, NE L EST PLUS

-FOND D ECRAN RETABLI

-TEST DE MEMOIRE AVAST : N EST PLUS INFECTÉ …

MAIS RESTE PAS MAL DE PROBLEMES :

-ENCORE DES PROBLEMES TRES PERSISTANTS DE VITESSE

-TOUJOURS DES POP UPS QUI S OUVRE MEME SANS OUVRIR INTERNET surtout des messages invitants à télécharger des faux spyware

-« I EXPLORER DOIT FERMER « ça arrive de temps en temps

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
49,99 €Répéteur WiFi TP-Link RE455 AC1750 Dual-band à 49,99 €
Valable jusqu'au 18 Octobre

Amazon fait une promotion sur le répéteur TP-Link RE455 AC1750 Dual-band qui passe à 49,99 € et livré gratuitement. Ce répéteur qu'on trouve ailleurs à partir de 61 € va vous permettre d'augmenter grandement la portée de votre WiFi 802.11 b/g/n et ac jusqu'à 140 m² à 1750 Mbit/s. Avec son port Ethernet, ce répéteur peut également faire office de point d'accès sans fil et de pont WiFi. Compatible avec tous les box Internet et routeurs WiFi.


> Voir l'offre
72,99 €Kit de 16 Go (2 x 8 Go) de mémoire DDR4 Crucial Ballistix 3200 MHz à 72,99 €
Valable jusqu'au 18 Octobre

Amazon fait une promotion sur le kit de 16 Go (2x8 Go) de mémoire DDR4 Crucial Ballistix 3200 MT/s CL16 qui passe à 72,99 € alors qu'on le trouve ailleurs à partir de 100 €. 


> Voir l'offre
43,00 €Clavier Corsair K55 RGB à 43 €
Valable jusqu'au 18 Octobre

Amazon fait une promotion sur le clavier Corsair K55 RGB qui passe à 43 € livré gratuitement au lieu de 60 €. Avec ses touches silencieuses et ses 6 touches macros, vous avez à votre disposition une surface de jeu idéale et performante. Ce modèle embarque la technologie anti-ghosting, des touches multimédia et un repose-poignet amovible.


> Voir l'offre

Sujets relatifs
Infection - Faux anti Virus
Contre les faux anti-virus
faux virus eicar.com et symantec anti virus
S'envoyer un faux virus pour tester son anti virus
ANTI VIRUS NOKIA
Quel ANTI VIRUS pour XP SP3 Gratos fiable
Tablette SAMSUNG - quel anti virus ?...
copie d'un anti-virus recommandé par Windows
anti virus
ANTI VIRUS
Plus de sujets relatifs à Virus : bureau modif+faux anti-virus PART1
 > Tous les forums > Forum Sécurité