Sujet Précédent Sujet Suivant

Ordinateur infecté

Résolu/Fermé
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009 - 27 déc. 2008 à 22:21
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009 - 20 févr. 2009 à 21:18
Bonjour tout le monde,

depuis hier, j'ai un problème avec mon ordinateur.
Lorsque j'ouvre le poste de travail, ma clé USB, ou n'importe quel dossier ou encore lorsque que je reviens à la page précédente :

- soit j'ai un message me disant de télécharger WinDefender apparaît et, lorsque je refuse une page s'ouvre quand même ( http://windefender2009.cn/buy.php )

- soit un autre message apparaît me disant en anglais là aussi :
you've download "beautiful_young_boy_sucking_dick.avi" do you want to watch this movie now ? ou bien :
you've download "horse_fucking_girl.avi" do you want to watch this movie now ? intitulé Download Complete
Je refuse et le message disparaît

Malheureusement à chaque fois que je fais quelque chose, ces messages réapparaissent.
J'ai lancé un scan avec mon anti-virus Antivir mais il ne détecte rien
J'ai essayé quand même le win defender 2009 (peut-être une grosse erreur de ma part, je ne sais pas), il détectait des malware et autres spy, et lorsque j'ai lancé une deuxième fois, plus rien. je ne sais pas si on peu afficher des images, car j'ai fait une capture d'écran du premier scan. (INFO : j'ai supprimer le windefender après)

En lisant un peu le forum, j'ai vu que certains ont eu des problèmes similaires aux miens mais la résolution n'est pas forcément la même et comme je ne m'y connais pas du tout et que je n'ai personne qui peut m'aider en ce moment, alors je m'en remet à vous.

Je remercie d'avance celui ou celle qui voudra bien m'aider.
A voir également:

34 réponses

  • 1
  • 2
Réponse 1 / 34
papa noel
27 déc. 2008 à 22:23
vu les titres des fichiers je te conseille vivement d'arreter les site X douteux
1
Réponse 2 / 34
papa noel
27 déc. 2008 à 22:28
et ton anti virus ne detecte rien ? tu a essayer avec un anti spyware ?
1
Réponse 3 / 34
papa noel
27 déc. 2008 à 22:32
oula oulah lol je suis pas specialiste ^^ moi je te conseille de sauvegarder tes documents precieux et de reformater
1
Réponse 4 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 22:25
bonjour, justement, je ne suis allée sur aucun site de ce genre donc je ne comprend pas pourquoi j'ai ce genre de messages !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 22:30
Si ça peut aider voici mon rapport HijackThis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:52, on 27/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: GigaNet.com - {DE2C5EF2-DFBF-49B0-BBF2-3B2805A52722} - C:\WINDOWS\system32\dhofozr.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer = 85.255.114.60;85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.60;85.255.112.226
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
0
Réponse 6 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
27 déc. 2008 à 22:36
Bonjour

Avant d'en arriver aux extrémités autant essayer de désinfecter :

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Déconnecte-toi, ferme toute tes applications et désactive tes défenses ( anti-virus, anti-spyware,...) le temps de la manip !!

Installe le soft à la racine de C:\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe" ) .

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

Utilisation ---> option 1 / Recherche :
Double clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite .

(Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)


0
Réponse 7 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 22:37
Aïe c'est si grave que ça, en plus un de mes ami venait de reformater pour moi
j'ai vraiment pas de chance!!!
Encore si je m'y connaissais mais je suis nulle de chez nulle
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
27 déc. 2008 à 22:50
Tu es en bonne main avec Toptibal

Pas de soucis

0
Réponse 8 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 23:12
Alors voici le rapport :


SmitFraudFix v2.387

Rapport fait à 19:08:58,87, 27/12/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !
C:\resycled\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\c.ico PRESENT !
C:\WINDOWS\system32\m.ico PRESENT !
C:\WINDOWS\system32\p.ico PRESENT !
C:\WINDOWS\system32\s.ico PRESENT !
C:\WINDOWS\system32\sf.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

C:\DOCUME~1\ADMINI~1\Favoris\Cheap Pharmacy Online.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\Cheap Software.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\Search Online.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\SMS TRAP.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\VIP Casino.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: dhofozr.dll
BHO: GigaNet.com - {DE2C5EF2-DFBF-49B0-BBF2-3B2805A52722}
TypeLib: {A8954909-1F0F-41A5-A7FA-3B376D69E226}
Interface: {5B3142C6-A130-4BBB-A997-554C7F561D25}
Interface: {F31637B5-138E-4A12-87A6-E520EE82941E}
VersionIndependentProgID: Lme34
ProgID: Lme34.1



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.114.60;85.255.112.226

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.114.60;85.255.112.226

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 9 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
27 déc. 2008 à 23:14
Redémarre l'ordinateur en mode sans échec .

Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublie pas, en mode sans échec, pas de connexion ! Donc copie ou imprime bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe

* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

* Réponds « oui » à toutes les questions.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Poste ce dernier rapport.


0
Réponse 10 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 23:21
Je n'ai que le compte administrateur est-ce que ça pausera un problème?
0
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
27 déc. 2008 à 23:24
Non, pas de problème, c'est le compte que tu utilises habituellement.
(Ce n'est pas la meilleure solution d'ailleurs mais ça c'est autre chose, on en reparlera après si tu veux).
0
Réponse 11 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
27 déc. 2008 à 23:25
ok
0
Réponse 12 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
28 déc. 2008 à 00:07
Désolée pour l'attente, l'ordi a ramé au redémarrage



SmitFraudFix v2.387

Rapport fait à 19:38:36,29, 27/12/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\WINDOWS\system32\c.ico supprimé
C:\WINDOWS\system32\m.ico supprimé
C:\WINDOWS\system32\p.ico supprimé
C:\WINDOWS\system32\s.ico supprimé
C:\WINDOWS\system32\sf.ico supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Cheap Pharmacy Online.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Cheap Software.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Search Online.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\SMS TRAP.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\VIP Casino.url supprimé
C:\resycled\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

C:\WINDOWS\system32\dhofozr.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 13 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
28 déc. 2008 à 00:59
Merci beaucoup pour ton aide toptitbal,
peut-être qu'il y a encore des manipulations à faire, mais pour l'instant, les messages ont totalement disparus.
J'attends ta réponse avec impatience.
Bonne nuit :)
0
Réponse 14 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
28 déc. 2008 à 08:31
Relance SmitFrauFix, en mode normal cette fois et tu choisis l'option 5 : Recherche et suppression détournements DNS.
0
Réponse 15 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
29 déc. 2008 à 00:21
Bonsoir, voici le dernier rapport :


SmitFraudFix v2.387

Rapport fait à 20:17:47,28, 28/12/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.114.60;85.255.112.226

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.114.60;85.255.112.226

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.60;85.255.112.226

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.114.60;85.255.112.226
0
Réponse 16 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
29 déc. 2008 à 09:20
OK, relance SmitFraudFix option 1 stp.
0
Réponse 17 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
29 déc. 2008 à 20:48
SmitFraudFix v2.387

Rapport fait à 16:47:45,40, 29/12/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !
C:\resycled\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Ralink Wireless LAN Card V2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.26;85.255.112.104

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 18 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
29 déc. 2008 à 20:54
Redémarre l'ordinateur en mode sans échec .

Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublie pas, en mode sans échec, pas de connexion ! Donc copie ou imprime bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe

* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

* Réponds « oui » à toutes les questions.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Poste ce dernier rapport.
0
Réponse 19 / 34
kari97 Messages postés 67 Date d'inscription samedi 27 décembre 2008 Statut Membre Dernière intervention 26 février 2009
29 déc. 2008 à 21:17
SmitFraudFix v2.387

Rapport fait à 17:08:56,35, 29/12/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\resycled\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7E85EDC4-9C9A-43CA-990E-D0032DC34276}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD51235D-FA77-424C-B496-825BBB799342}: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.116.26;85.255.112.104
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.26;85.255.112.104


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 20 / 34
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
29 déc. 2008 à 21:28
Très bien
Fais un nouvel Hijackthis stp.
0

Discussions similaires

j'ai renversé de l'eau sur mon pc portable
sardine -
moudubulbe -

14 réponses
Comment taper l'arobase sur un pc hp ?
kadem -
Tatopoulosse -

5 réponses