Sujet Précédent Sujet Suivant

SPYWARES RÉSISTANTS !!!

Résolu/Fermé
Utilisateur anonyme - 27 déc. 2008 à 10:36
 Utilisateur anonyme - 31 déc. 2008 à 17:10
Bonjour,

J'ai le logiciel "Malwarebytes' Anti-Malware" et à chaque fois que je fais un scan voici ce que j'obtiens :

_____

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1550
Windows 5.1.2600 Service Pack 2

27/12/2008 10:10:39
mbam-log-2008-12-27 (10-10-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 81254
Temps écoulé: 1 hour(s), 32 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\6939ec76 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Host Process (Worm.IRCBot) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

_____

À chaque fois il me détecte les mêmes menaces, je les supprime et elles reviennent !!!

Aidez-moi SVP !!!

A+

36 réponses

  • 1
  • 2
Réponse 1 / 36
Utilisateur anonyme
27 déc. 2008 à 10:40
Salut,

▶ Ouvre Malwarebyte,

▶ Clic sur l'onglet Quarantaine,

▶ Supprime tout ce que la quarantaine contient,

▶ Si il te propose de redémarrer ton PC =>Accepte

▶ Si il ne te le propose pas =>Redémarre normalement ton PC

▶ Poste le rapport suite à la suppression sur le forum.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur ' continue ' à l'écran Disclaimer.

Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
1
Réponse 2 / 36
kevbdx Messages postés 360 Date d'inscription samedi 25 août 2007 Statut Membre Dernière intervention 8 juillet 2010 6
27 déc. 2008 à 10:38
fais un scan en ligne puis telecharge spybot search and destroy et il va scanner les spys
0
Réponse 3 / 36
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
27 déc. 2008 à 10:43
Télécharge Vundofix.exe (par Atribune) sur ton Bureau.
http://vundofix.atribune.org/
* Double-clique sur VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton fix Vundo.
* Une invite de commande demandera si tu souhaites supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devrai s'éteindre ("shutdown"). Clique sur OK , puis laisse le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt,
Poste le rapport

------------------------------------
ensuite
télécharge hijackthis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> enregistre la cible sous .... "le bureau"

---> renome le en HJT.exe

-> Fais un double-clic sur "HJT.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
0
Réponse 4 / 36
Utilisateur anonyme
27 déc. 2008 à 10:46
Re,

@sherred;

Vundofix ,je croit n'est plus mis à jour.
0
Utilisateur anonyme
27 déc. 2008 à 10:52
Salut "V-X"

Alors je fais quoi : je télécharge celui que tu m'a mis dans ton lien ou je cherche une version plus récente ???

A+
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
27 déc. 2008 à 11:06
merci du renseignement , V-X mais n'aurai t'il pas pu découvrir quelque "vieux" vundo magrés tout
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
Norodom Messages postés 44 Date d'inscription mercredi 30 juin 2004 Statut Membre Dernière intervention 27 décembre 2008 9
27 déc. 2008 à 10:52
Bonjour,
Ce scan de 1h 32 me paraît court...
Il doit être effectué en mode"sans échec" et sans prise en charge du réseau.
En plus, avant celà, il est préférable de désactiver la restauration système.
Bien sûr tu perdras les points de restaurations antérieurs au problème mais il ne te sont d'aucune utilité.
Tu peux aussi désactiver ton antivirus. Tout celà devra être réactivé à la fin des opérations...
Donc, en premier lieu, en mode normal, il faut effectuer la mise à jour de Malwarebytes, chose que tu ne peux pas faire en mode sans échec.
Autre chose, pour l'analyse, effectue l'examen complet sur le lecteur C, pas sur D
Bon vent!
0
Utilisateur anonyme
27 déc. 2008 à 10:58
Salut "Norodom",

Justement j'ai fais un scan en mode sans échec et sans prise en charge du réseau !!!

A+
0
Norodom Messages postés 44 Date d'inscription mercredi 30 juin 2004 Statut Membre Dernière intervention 27 décembre 2008 9 > Utilisateur anonyme
27 déc. 2008 à 11:04
ok mais as-tu pensé à désactiver la restauration du système?
sans quoi tes spams vont réapparaître...
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275 > Norodom Messages postés 44 Date d'inscription mercredi 30 juin 2004 Statut Membre Dernière intervention 27 décembre 2008
27 déc. 2008 à 12:46
Bonjour

Il est déconseillé vivement de faire désactiver la restauration en début de
nettoyage : il vaut mieux une restauration infectée que pas du tout,
s'il y a un problème ou une erreur de commise, pas moyen de revenir en arrière
0
Norodom Messages postés 44 Date d'inscription mercredi 30 juin 2004 Statut Membre Dernière intervention 27 décembre 2008 9 > ^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020
27 déc. 2008 à 15:09
Pas d'accord, mais pas du tout!...
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275 > Norodom Messages postés 44 Date d'inscription mercredi 30 juin 2004 Statut Membre Dernière intervention 27 décembre 2008
27 déc. 2008 à 15:17
Amen.

0
Réponse 6 / 36
Utilisateur anonyme
27 déc. 2008 à 11:01
Re,

Fait rsit STP
0
Réponse 7 / 36
Utilisateur anonyme
27 déc. 2008 à 11:05
Re,

@norodom, 

À chaque fois il me détecte les mêmes menaces, je les supprime et elles reviennent !!!


Alors si il te dit sa c'est que le vundo et pas virer et il faut passer autres choses NON !
0
Réponse 8 / 36
Utilisateur anonyme
27 déc. 2008 à 11:07
Re,

Attendons le rapport de RSIT si il le fait et suis le topic comme sa tu verra par toi même aussi.
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
27 déc. 2008 à 11:15
la derniere version de vundofix a ete mise a jour le 17 Octobre 2008
0
Réponse 9 / 36
Utilisateur anonyme
27 déc. 2008 à 11:23
Re,

COUCOU VNCTDJ

Tu es toujours là ?

Tu le fait le log RSIT ou pas ?
0
Réponse 10 / 36
Utilisateur anonyme
30 déc. 2008 à 17:32
Salut "V-X",

Rassure-toi je suis revenu !!!

Je vais te poster le rapport d'ici quelques minutes !!!

A+
0
Réponse 11 / 36
Utilisateur anonyme
30 déc. 2008 à 17:52
AU FAIT, T'ES TOUJOURS LÀ ???
0
Réponse 12 / 36
Utilisateur anonyme
30 déc. 2008 à 18:10
Re,

Poste..
0
Réponse 13 / 36
Utilisateur anonyme
30 déc. 2008 à 18:15
OK le voici : (Il est un peu long, j'avoue...)

_____

Logfile of random's system information tool 1.05 (written by random/random)
Run by Admin at 2008-12-30 17:34:44
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 3 GB (13%) free of 20 GB
Total RAM: 383 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:00, on 30/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Admin\Bureau\RSIT.exe
C:\Program Files\trend micro\Admin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0AF8AEA5-3432-4212-A6C6-A1CCBB029E0A} - (no file)
O2 - BHO: (no name) - {0B89B1ED-99D7-42FE-B3CF-FE666B33B0EE} - (no file)
O2 - BHO: (no name) - {0FB8FEF0-E503-4827-A92F-F67C24DF5C62} - (no file)
O2 - BHO: (no name) - {0FC79741-EC12-4B85-BCA1-67845A9D4605} - C:\WINDOWS\system32\tuvVNDtU.dll (file missing)
O2 - BHO: (no name) - {1F12E4EA-ACDF-4F58-A704-A377FB09D4B7} - (no file)
O2 - BHO: (no name) - {1F8AAB55-5ECE-4DFE-8BF5-DF1DA11A240F} - (no file)
O2 - BHO: (no name) - {2C6FB35C-C835-4F1C-8400-046C863C5692} - (no file)
O2 - BHO: (no name) - {3818B981-D47D-4841-B765-1D2B58A20ACD} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6af8723a-50c8-4b8d-aa78-f778c8e64fe2} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {77168281-E763-43F8-9969-49ED1EE4EE7B} - C:\WINDOWS\system32\xxywUNDU.dll (file missing)
O2 - BHO: (no name) - {87DB3EFC-EC1B-4077-A479-676BA212113E} - (no file)
O2 - BHO: (no name) - {9962BD3B-4B9C-47B1-85F7-811CF339A435} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: (no name) - {EEB16579-2548-42F4-8C86-B22F64E06A9D} - (no file)
O2 - BHO: (no name) - {FAA35D6E-443C-4D21-BC27-326392B4D0EB} - (no file)
O2 - BHO: (no name) - {FD779440-C8E3-401A-B733-28DCFFE3445C} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [6939ec76] rundll32.exe "C:\WINDOWS\system32\uyoxkxnp.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: htxyqm.dll zoekot.dll gdxmop.dll qokubo.dll ropfui.dll vaeoin.dll loulsj.dll iacmbj.dll
O20 - Winlogon Notify: cbXRJARk - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 14 / 36
Utilisateur anonyme
30 déc. 2008 à 18:19
Re,

▶ Installe - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)

Option:1 => Recherche:

Double cliquer sur SmitfraudFix.exe

Sélectionner 1 et pressez =>Entrée dans le menu pour créer

▶ un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque

système

C:\rapport.txt et colle le rapport génèrer sur le forum.

Ne pas faire l'option 2 sans un avis d'une personne compétente*<=


Tutoriel Smitfraudix

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
0
Réponse 15 / 36
Utilisateur anonyme
30 déc. 2008 à 18:52
♦ Le tutoriel, c'est le tien ??? ==> Si OUI, comment as-tu fait ???

♦ Mon rapport HijackThis, t'en as pas besoin ???

♦ Voici mon rapport SmitFraudFix :

_____

SmitFraudFix v2.387

Rapport fait à 18:35:31.71, 30/12/2008
Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="htxyqm.dll zoekot.dll gdxmop.dll qokubo.dll ropfui.dll vaeoin.dll loulsj.dll iacmbj.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: RT73 USB Wireless LAN Card #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 16 / 36
Utilisateur anonyme
30 déc. 2008 à 18:55
Re,

Le tutoriel n'est pas le mien.

Ensuite dans l'ordre:

▶ Télécharge cet outil de SiRi:

RHosts

𥭭ouble cliquer dessus pour l'exécuter

▶ Cliquer sur " Restore original Hosts "

NB : c est normal que rien ne se passe .

========================================================================
Smithfraudix option 2:

▶ Démarre en mode sans échec :

▶ Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter

▶ Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

▶ Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
▶ Relance le programme Smitfraud :

▶ Cette fois choisit l’option 2, répond oui à tous ;

Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
0
Réponse 17 / 36
Utilisateur anonyme
30 déc. 2008 à 20:02
♦ Mon rapport HijackThis, t'en as pas besoin ???

♦ C'est quoi ce truc de "host" ???
0
Réponse 18 / 36
Utilisateur anonyme
30 déc. 2008 à 20:06
Re,

Passe sa et t'inquiéte pas c'est tu as des fichiers hosts de corrompu.
0
Réponse 19 / 36
Utilisateur anonyme
31 déc. 2008 à 14:58
Salut "V-X",

J'ai fait le "SmitfraudFix option 2" en mode sans-échec et là, surprise, quand je redémarre mon ordi :
♦ Plus de pare-feu Windows } ==> POURQUOI ???
♦ Mises à jour automatiques de Windows désactivées } ==> POURQUOI ???
♦ Plus de fond d'écran } ==> POURQUOI ???

Après ça, voici le rapport "SmitfraudFix option 2" :

_____

SmitFraudFix v2.387

Rapport fait à 14:13:34.53, 31/12/2008
Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1FE47B1A-56C0-4071-AE01-AF25639E094D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 20 / 36
Utilisateur anonyme
31 déc. 2008 à 14:59
Re,

▶ Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours/!\

● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
● Double clique sur l'icône Ad-removersituée sur ton bureau
● Au menu principal choisi l'option "A"
● Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0

Discussions similaires

des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses