> Tous les forums > Forum Sécurité
 Virus : bureau modif+faux anti-virus PART1
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
pierre_pierre
  Posté le 26/06/2008 @ 19:33 
Aller en bas de la page 
Nouvel astucien
Bonjour à toutes et à tous,

Sujet malheureusement récurent sur ce forum : mon ordi est (sérieusement) infecté !!!

Les symptômes :

- Un message qui s affiche constamment dans ma barre de taches , me disant que mon ordi est sûrement victime de spyware et m invite donc a télécharger ou a cliquer sur tel ou tel lien

- Un fond d écran changé (bleu) avec marqué : « vous etes victime d un spyware ….cliquez ici pour résoudre ….. »

-plein plein de pops ups divers et variés

-Mon ctrl alt supr / gestionnaire des taches était meme bloqué : « vous n avez pas les privilèges utilisateurs »

- Après scan avec avast (antivirus) : « mémoire infectée « + au moins une vingtaine de trojans , virus , spywares et autres saloperies !!!

J ai donc parcouru ce forum avant de venir vous embéter à mon tour , j ai trouvé certains cas qui ressemblait au mien et ai donc fait les étapes GENPROC …..

Il y a eu une légère amélioration même si de nombreux problèmes persistent L

Je vous ai posté ci-dessous l ensemble de la procédure Genproc avec ce que j ai pu faire ou non (en gros tout sauf VUNDOFIX) ,

A la fin de ce message je vous ai mis l évolution de ma bécane après cette procédure …

J espère que vous pourrez trouver une solution à mon problème (en tout cas merci pour les autres posts qui sont très clairs et faciles à comprendre),

MERCI MILLE FOIS DE VOTRE AIDE,

Hesitez pas si il manque des éléments …

Pierre

Rapport GenProc 1.972 [1] effectué le 20/06/2008 à 19:38:25,56 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. Ok

# Etape 1/ Télécharge :

- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

lien ne marche pas donc http://www.atribune.org/public-beta/ OK

Publicité
pierre_pierre
 Posté le 26/06/2008 à 19:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

SUITE

- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau OK

- SmitfrauFix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe OK CI DESSOUS* double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

SmitFraudFix v2.328

Rapport fait à 19:52:53,96, 20/06/2008

Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\System32\iftuyszv.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\VTtrayp.exe

C:\WINDOWS\System32\VTTimer.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\Rundll32.exe

C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Software Informer\softinfo.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Documents and Settings\Pierre\Bureau\SmitfraudFix\Policies.exe

C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\accesss.exe PRESENT !

C:\WINDOWS\astctl32.ocx PRESENT !

C:\WINDOWS\avpcc.dll PRESENT !

C:\WINDOWS\clrssn.exe PRESENT !

C:\WINDOWS\cpan.dll PRESENT !

C:\WINDOWS\iexplorer.exe PRESENT !

C:\WINDOWS\loader.exe PRESENT !

C:\WINDOWS\mtwirl32.dll PRESENT !

C:\WINDOWS\notepad32.exe PRESENT !

C:\WINDOWS\olehelp.exe PRESENT !

C:\WINDOWS\systeem.exe PRESENT !

C:\WINDOWS\systemcritical.exe PRESENT !

C:\WINDOWS\time.exe PRESENT !

C:\WINDOWS\users32.exe PRESENT !

C:\WINDOWS\waol.exe PRESENT !

C:\WINDOWS\win32e.exe PRESENT !

C:\WINDOWS\win64.exe PRESENT !

C:\WINDOWS\winajbm.dll PRESENT !

C:\WINDOWS\window.exe PRESENT !

C:\WINDOWS\winmgnt.exe PRESENT !

C:\WINDOWS\x.exe PRESENT !

C:\WINDOWS\xplugin.dll PRESENT !

C:\WINDOWS\xxxvideo.hta PRESENT !

C:\WINDOWS\y.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pierre\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\System32\\iftuyszv.exe,"

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

- SDfix (Andy Manchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans C:\. OK

- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau. OK

- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. OK MAIS SIGNALE COMME MALVAILLANT PAR 1 OU 2 UTILISATEUR

***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Pierre") ***** OK

pierre_pierre
 Posté le 26/06/2008 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

SUITE 2

# Etape 2/

Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente. OK CI-DESSOUS

Système d'exploitation : Windows [XP ]

Purity[0.7] lancé [1] fois! le 20/06/2008 à 20:05:30,32

Fix lancé en mode sans echec.

Liste des éléments rencontrés au cours de la Recherche...

C:\Documents and Settings\Pierre\Application Data\SMBOLS~1

C:\Program Files\Outerinfo

fichiers,dossiers sauvegardés dans C:\Documents and Settings\Pierre\Bureau\Purity\Purity40.zip

Fin du rapport

# Etape 3/

  • Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique

IMPOSSIBLE DE LANCER CAR PAS DE PROG APPROPRIE ?????

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

  • Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra. OK CI-DESSOUS

ComboFix 08-06-19.4 - Pierre 2008-06-20 20:10:48.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.1224 [GMT 2:00]

Endroit: C:\Documents and Settings\Pierre\Bureau\ComboFix.exe

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\AntiSpywareMaster

C:\Program Files\AntiSpywareMaster\asm.exe

C:\Program Files\Hotbar

C:\Program Files\network monitor

C:\Program Files\SpyMaxx

C:\Program Files\SpyMaxx\SpyMaxx.exe.MANIFEST

C:\Program Files\SpyMaxx\stat.bin

C:\Program Files\SpyMaxx\uninstall.exe

C:\Program Files\SpyMaxx\uninstall.log

C:\WINDOWS\accesss.exe

C:\WINDOWS\astctl32.ocx

C:\WINDOWS\avpcc.dll

C:\WINDOWS\BM8bb515e2.xml

C:\WINDOWS\clrssn.exe

C:\WINDOWS\cookies.ini

C:\WINDOWS\cpan.dll

C:\WINDOWS\ctfmon32.exe

C:\WINDOWS\ctrlpan.dll

C:\WINDOWS\directx32.exe

C:\WINDOWS\dnsrelay.dll

C:\WINDOWS\editpad.exe

C:\WINDOWS\explore.exe

C:\WINDOWS\explorer32.exe

C:\WINDOWS\funniest.exe

C:\WINDOWS\funny.exe

C:\WINDOWS\gfmnaaa.dll

C:\WINDOWS\helpcvs.exe

C:\WINDOWS\iedll.exe

C:\WINDOWS\iexplorer.exe

C:\WINDOWS\inetinf.exe

C:\WINDOWS\internet.exe

C:\WINDOWS\lfn.exe

C:\WINDOWS\loader.exe

C:\WINDOWS\mainms.vpi

C:\WINDOWS\megavid.cdt

C:\WINDOWS\msconfd.dll

C:\WINDOWS\msspi.dll

C:\WINDOWS\mssys.exe

C:\WINDOWS\msupdate.exe

C:\WINDOWS\mswsc10.dll

C:\WINDOWS\mswsc20.dll

C:\WINDOWS\mtwirl32.dll

C:\WINDOWS\muotr.so

C:\WINDOWS\notepad32.exe

C:\WINDOWS\olehelp.exe

C:\WINDOWS\pskt.ini

C:\WINDOWS\qttasks.exe

C:\WINDOWS\quicken.exe

C:\WINDOWS\rundll16.exe

C:\WINDOWS\rundll32.vbe

C:\WINDOWS\searchword.dll

C:\WINDOWS\sistem.exe

C:\WINDOWS\svchost32.exe

C:\WINDOWS\svcinit.exe

C:\WINDOWS\systeem.exe

C:\WINDOWS\system32\AJlnnUtv.ini

C:\WINDOWS\system32\AJlnnUtv.ini2

C:\WINDOWS\system32\cbXQGVOf.dll

C:\WINDOWS\system32\cpifiwuo.dll

C:\WINDOWS\system32\fccdefed.dll

C:\WINDOWS\system32\fqhateoa.ini

C:\WINDOWS\system32\hljwugsf.bin

C:\WINDOWS\system32\mantec~1

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mipbwisc.ini

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\msnav32.ax

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\rBJikUtv.ini

C:\WINDOWS\system32\rBJikUtv.ini2

C:\WINDOWS\system32\tyafduou.dll

C:\WINDOWS\system32\vtUkiJBr.dll

C:\WINDOWS\system32\winpfz33.sys

C:\WINDOWS\system32\xqdmkkfm.ini

C:\WINDOWS\system32\yayxwUnN.dll

C:\WINDOWS\system32\zxdnt3d.cfg

C:\WINDOWS\systemcritical.exe

C:\WINDOWS\time.exe

C:\WINDOWS\users32.exe

C:\WINDOWS\waol.exe

C:\WINDOWS\win32e.exe

C:\WINDOWS\win64.exe

C:\WINDOWS\winajbm.dll

C:\WINDOWS\window.exe

C:\WINDOWS\winmgnt.exe

C:\WINDOWS\WW91eW91\

C:\WINDOWS\x.exe

C:\WINDOWS\xplugin.dll

C:\WINDOWS\xxxvideo.hta

C:\WINDOWS\y.exe

.

pierre_pierre
 Posté le 26/06/2008 à 19:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_CMDSERVICE

-------\Legacy_MSSECURITY1.209.4

-------\Legacy_NETWORK_MONITOR

-------\Service_cmdService

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-20 to 2008-06-20 ))))))))))))))))))))))))))))))))))))

.

2008-06-20 19:55 . 2008-06-20 11:55 <REP> d-------- C:\SDFix

2008-06-20 19:52 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-06-20 19:52 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-06-20 19:52 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-06-20 19:52 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-06-20 19:52 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-06-20 19:52 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe

2008-06-20 19:52 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-06-20 19:52 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-06-20 19:52 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-06-20 19:52 . 2008-06-20 19:52 2,852 --a------ C:\WINDOWS\system32\tmp.reg

2008-06-19 19:21 . 2008-06-19 19:21 80,384 --a------ C:\WINDOWS\system32\mfkkmdqx.dll

2008-06-19 18:29 . 2008-06-19 18:29 99,328 --a------ C:\WINDOWS\system32\pbxecinm.dll

2008-06-19 18:29 . 2008-06-19 18:29 90,112 --a------ C:\WINDOWS\system32\wpjnntsf.dll

2008-06-16 20:24 . 2008-06-20 20:36 2,022 --a------ C:\WINDOWS\system32\default.htm

2008-06-16 20:15 . 2008-06-16 20:15 13,502 --a------ C:\WINDOWS\system32\JambaIconFR.ico

2008-06-16 20:15 . 2008-06-16 20:15 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico

2008-06-16 20:00 . 2008-06-16 20:00 <REP> d-------- C:\WINDOWS\system32\netrax01

2008-06-16 20:00 . 2008-06-16 20:00 <REP> d-------- C:\WINDOWS\system32\MRI

2008-06-16 20:00 . 2008-06-19 21:20 <REP> d-------- C:\WINDOWS\system32\goc

2008-06-16 20:00 . 2008-06-17 19:54 <REP> d-------- C:\WINDOWS\system32\ert

2008-06-16 20:00 . 2008-06-16 20:36 <REP> d-------- C:\Temp

2008-06-16 20:00 . 2008-06-16 20:00 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris

2008-06-16 20:00 . 2008-06-16 20:00 687,592 --a------ C:\WINDOWS\system32\atmtd.dll._

2008-06-16 20:00 . 2008-06-16 20:00 687,592 --a------ C:\WINDOWS\system32\atmtd.dll

2008-06-16 20:00 . 2008-06-16 20:00 90,073 --a------ C:\WINDOWS\system32\iftuyszv.exe

2008-06-16 20:00 . 2006-01-03 17:45 1,989 --a------ C:\WINDOWS\uninstall_nmon.vbs

2008-06-16 14:36 . 2008-06-16 15:27 65 --a------ C:\WINDOWS\yesmessenger.ini

2008-06-16 14:34 . 2008-06-16 15:29 <REP> d-------- C:\Program Files\YesMessenger

2008-06-15 14:21 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys

2008-06-15 14:21 . 2001-08-17 20:12 19,017 --a--c--- C:\WINDOWS\system32\dllcache\rtl8029.sys

2008-06-08 04:13 . 2008-06-08 04:13 32,768 --a------ C:\WINDOWS\system32\netrax01\netrax011065.exe

2008-05-24 17:57 . 2008-05-24 17:57 <REP> d-------- C:\Documents and Settings\Pierre\Application Data\Acoustica

2008-05-24 17:55 . 2008-05-24 17:55 <REP> d-------- C:\Program Files\Acoustica Shared Effects

2008-05-23 20:04 . 2008-05-24 17:57 <REP> d-------- C:\Program Files\Acoustica Mixcraft 4

2008-05-23 20:04 . 2008-05-23 20:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Acoustica

2008-05-20 21:22 . 2008-05-20 21:22 <REP> d-------- C:\Program Files\Software Informer

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 18:16 31,232 ----a-w C:\WINDOWS\y.exe

2008-06-20 18:16 30,208 ----a-w C:\WINDOWS\window.exe

2008-06-20 18:16 28,416 ----a-w C:\WINDOWS\winmgnt.exe

2008-06-20 18:16 24,832 ----a-w C:\WINDOWS\x.exe

2008-06-20 18:16 11,264 ----a-w C:\WINDOWS\xplugin.dll

2008-06-20 18:01 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Free Download Manager

2008-06-16 13:29 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Skype

2008-06-01 18:04 --------- d-----w C:\Program Files\eMule

2008-05-28 17:50 --------- d-----w C:\Program Files\Alice

2008-05-20 19:23 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Software Informer

2008-04-25 16:43 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Snapfish

2007-02-22 18:21 16,368 ----a-w C:\Documents and Settings\Pierre\Application Data\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c5dc67f-a82f-44c4-aadc-fd14dc222ef0}]

2008-06-19 18:29 99328 --a------ C:\WINDOWS\System32\pbxecinm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F97414A8-685F-47A0-91E2-32BE1ED47AC2}]

C:\WINDOWS\System32\vtUnnlJA.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 18:51 57344]

"Free Download Manager"="C:\Program Files\Free Download Manager\fdm.exe" [2008-02-25 22:17 2465839]

"Software Informer"="C:\Program Files\Software Informer\softinfo.exe" [2008-05-20 00:16 1241157]

"fsm"="" []

"Casl"="C:\DOCUME~1\Pierre\APPLIC~1\SMBOLS~1\userinit.exe" [ ]

"Imnrb"="C:\WINDOWS\system32\??mantec\?hkntfs.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57 81408]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-09-26 16:49 35328]

"VTTrayp"="VTtrayp.exe" [2005-03-11 11:33 147456 C:\WINDOWS\system32\VTTrayp.exe]

"VTTimer"="VTTimer.exe" [2005-03-07 21:33 53248 C:\WINDOWS\system32\VTTimer.exe]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-09-07 22:08 180269]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 18:50 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"Cmaudio"="cmicnfg.cpl,CMICtrlWnd" []

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 07:24 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 15:42 267064]

"8886267e"="C:\WINDOWS\System32\mfkkmdqx.dll" [2008-06-19 19:21 80384]

"BM8bb515e2"="C:\WINDOWS\System32\wpjnntsf.dll" [2008-06-19 18:29 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2003-06-18 17:17 54472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.MJPG"= pvmjpg21.dll

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\85.tmp []

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-02-19 19:01:40 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-06-20 18:38:39 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-20 20:38:55

Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

"ImagePath"="\??\C:\WINDOWS\TEMP\85.tmp"

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\System32\mfkkmdqx.dll

-> C:\WINDOWS\System32\wpjnntsf.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\Program Files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-20 20:44:07 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-20 18:44:01

Pre-Run: 14,610,190,336 octets libres

Post-Run: 20,204,150,784 octets libres

245

pierre_pierre
 Posté le 26/06/2008 à 19:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

DERNIERE PART

# Etape 4/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau. OK CI-DESSOUS

SmitFraudFix v2.328

Rapport fait à 20:51:26,09, 20/06/2008

Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1BC400CD-40A0-40CF-BF4D-2C093C345E44}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{323A7D04-1513-41EB-B6B0-AE8B713736A7}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

# Etape 5/

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. OK LE FOND D ECRAN VIRUS EST PARTI

# Etape 6/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. message : L UTILISATION SE FAIT A VOS RISQUES ET PERILS

- Exécute l'option R.

- Si l'infection est détectée, exécute l'option N.

- Sauvegarde ce rapport sur ton bureau. REDEMARRAGE OK , RAPPORT CI-DESSOUS

MSNFix 1.725

C:\Documents and Settings\Pierre\Bureau\MSNFix

Fix exécuté le 20/06/2008 - 21:49:15,68 By Pierre

mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\tmp.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

Aucun Fichier trouvé

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 20062008_21520439.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

# Etape 7/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. OK NETTOYAGE COMPLET - (50.600 secs)

------------------------------------------------------------------------------------------

68,8MB supprimés.

# Etape 8/

Redémarre normalement et poste, dans la même réponse :

- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;

- Le contenu du rapport situé dans C:\vundofix.txt ;

- Le contenu du rapport situé dans C:\Combofix.txt ;

- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;

- Le contenu du fichier Report.txt ;

- Le contenu du rapport MSNfix situé sur le Bureau ;

- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

COMMENTAIRES /

AMELIORATIONS :

-GESTIONNAIRE DES TACHES AUPARAVANT BLOQUE, NE L EST PLUS

-FOND D ECRAN RETABLI

-TEST DE MEMOIRE AVAST : N EST PLUS INFECTÉ …

MAIS RESTE PAS MAL DE PROBLEMES :

-ENCORE DES PROBLEMES TRES PERSISTANTS DE VITESSE

-TOUJOURS DES POP UPS QUI S OUVRE MEME SANS OUVRIR INTERNET surtout des messages invitants à télécharger des faux spyware

-« I EXPLORER DOIT FERMER « ça arrive de temps en temps

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
161,99 €SSD Samsung 870 QVO 2 To à 161,99 €
Valable jusqu'au 22 Octobre

Amazon fait une promotion sur le SSD Samsung 870 QVO 2 To qui passe à 161,99 € livré gratuitement. Ce SSD offre des vitesses de 560 Mo/s en lecture et 530 Mo/s en écriture. Il est garanti 3 ans.


> Voir l'offre
420,89 €Tablette 12.4 pouces Samsung Galaxy Tab S7 FE (8 coeurs, 4Go/ 64Go, stylet S Pen) à 420,89 € livrée
Valable jusqu'au 22 Octobre

Amazon Espagne fait une promotion sur la magnifique tablette 12.4 pouces Samsung Galaxy Tab S7 FE qui passe à 415,04 € grâce à un coupon de réduction à cocher sur la page du produit. Comptez 5,85 € pour la livraison en France soit un total de 420,89 € livrée. On la trouve ailleurs à plus de 550 €.

La Tablette Samsung Galaxy Tab S7 FE bénéficie d'un design incroyable, à la fois fin et raffiné. Dotée d'un puissant processeur Snapdragon 778G, de 4 Go de RAM et du stylet S Pen (transforme l'écriture manuscrite en texte en temps réel), elle répondra à tous vos besoins, qu'il s'agisse de naviguer sur Internet, regarder des vidéos, jouer ou rester productif. Des heures et des heures s'écouleront avant que vous ne deviez recharger la batterie de 10 090mAh. Lancez-vous dans un marathon de streaming grâce à ses 13 heures d'autonomie lorsque vous regardez des vidéos (compatible charge super rapide de 45W). La tablette dispose de 64 Go de stockage extensible par MicroSD (jusqu'à 1 To). Le tout tourne sous Android 11 en français dès le premier démarrage.


> Voir l'offre
999,99 €Portable 15,6' Lenovo Legion 5 (Ryzen 5, 8Go, SSD 512Go, RTX3060) + sac à dos à 999,99 €
Valable jusqu'au 22 Octobre

Cdiscount fait une promotion sur le PC portable Lenovo Legion 5 (15ACH6H) dédié aux joueurs qui passe à 999,99 € au lieu de 1200 €. Ce PC portable très bien équipé possède un écran 15,6 pouces LED Full HD, un processeur AMD Ryzen 5 5600H, 8 Go de RAM, un SSD de 512 Go et une carte graphique GeForce RTX 3060 6 Go dédiée qui avalera tous vos jeux sans broncher. Fourni avec Windows 10.

Un sac à dos de transport est également offert.


> Voir l'offre

Sujets relatifs
Infection - Faux anti Virus
Contre les faux anti-virus
faux virus eicar.com et symantec anti virus
S'envoyer un faux virus pour tester son anti virus
ANTI VIRUS NOKIA
Quel ANTI VIRUS pour XP SP3 Gratos fiable
Tablette SAMSUNG - quel anti virus ?...
copie d'un anti-virus recommandé par Windows
anti virus
ANTI VIRUS
Plus de sujets relatifs à Virus : bureau modif+faux anti-virus PART1
 > Tous les forums > Forum Sécurité