Virus sur support amovible ! HELP ! Résolu

Question

Bonjour, j'ai un problème depuis quelques jours.
Chaque fois que je connecte ma clé USB (SanDisk 2 GB Cruser Micro) ou mon iPod Nano à mon PC j'ai mon antivirus (Panda Global Protection 2009) qui me signale un virus sur mon disque amovible. Détail : "G:\RESYCLED\BOOT.COM"
J'ai essayer de le supprimé avec l'antivirus mais cela ne marche pas.
J'ai aussi essayer de formater ma clé USB 10-15 fois avec Windows XP mais sans succès !
J'ai encore essayer de le supprimé manuellement en affichant les fichiers cachés et les fichiers masquées du système mais rien n'y fait !
Merci de m'aider.
@ plus

Destrio5 · Answer

Salut,

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Nettoyage).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Utilisateur anonyme · Answer

Voila mon rapport ! merci -------------- UsbFix V2.414.3 --------------- * User : Berney Ronald - ORDI-PRINCIPAL * Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 13:48:31 le 17.01.2009 * Windows Xp - Internet Explorer 6.0.2900.2180 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Panda Security\Panda Global Protection 2009\PsCtrls.exe C:\Program Files\Panda Security\Panda Global Protection 2009\PavFnSvr.exe C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe C:\Program Files\Panda Security\Panda Global Protection 2009\PsImSvc.exe C:\Program Files\Panda Security\Panda Global Protection 2009\PskSvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Panda Security\Panda Global Protection 2009\TPSrv.exe C:\Program Files\Panda Security\Panda Global Protection 2009\pavsrv51.exe C:\Program Files\Panda Security\Panda Global Protection 2009\AVENGINE.EXE C:\PROGRAM FILES\PANDA SECURITY\PANDA GLOBAL PROTECTION 2009\WebProxy.exe c:\program files\panda security\panda global protection 2009\firewall\PSHOST.EXE C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Program Files\Panda Security\Panda Global Protection 2009\ApvxdWin.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Panda Security\Panda Global Protection 2009\PlaTasks.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur fixe G: - Lecteur amovible H: - Lecteur amovible +- Contenu de l'autorun : C:\autorun.inf [autorun] ;wsdoxxqtuljarinjrchqazgfxebyasxvpsotuxauwybsosbyjvpkwtuwxxurcxnpdtompgjsapjmeqxeockkotehlhm shellexecute="resycled\boot.com c:" ;lojwzsqukpimxfbxneryzgciuemyvgowjqotrefoqsnjzgdqknfctzsmbooitkhvr shell\Open\command="resycled\boot.com c:" ;g +- Contenu de l'autorun : D:\autorun.inf [autorun] ;swdspmksxfsunssjtfmafxgmsrlegzqwdmbviyrnsifyvznlxyuwjeoskquvwitpqkcrzxf shellexecute="resycled\boot.com d:" ;rbzwmudbr shell\Open\command="resycled\boot.com d:" ;fcxcgylmyadkquvcvuwbvopciszgyrd shell=Open ;bxdvjzjxyrkjrphomuroszfvuffnkvu +- Contenu de l'autorun : G:\autorun.inf [autorun] ;dhyhtdknefqpnvshqwpqsmzzpuafvmcpbisvkxspcjfxkcifxbtrboxflonaxgfajvdfmdzyjinpbdnpmdhabidvfaeafxuxaycztelmt shellexecute="resycled\boot.com g:" ;dtdphxufvnznecxnxrskvkaggmlvecdobmbpcrgnslyyasswklrqavdrlswqvtaeixkobpwvnreunxfpcihytqermtjklvpkhi +- Contenu de l'autorun : H:\autorun.inf [autorun] ;dzvbxkxfzwvoldmifj shellexecute="resycled\boot.com g:" ;ekbkchbesyuinqtfhhlxrqdtlepyihktscjwxubjyjjnxmbravwhrocxxqvy shell\Open\command="resycled\boot.com g:" ;hghdlzpopdjfxwethsp shell=Open ;okkaodybobrt --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [27.12.2008 10:17][--a------] C:\AUTOEXEC.BAT [05.08.2004 11:00][-rahs----] C:\NTDETECT.COM [04.01.2009 18:32][---hs----] C:\boot.ini [17.01.2009 12:42][-r-hs----] C:\autorun.inf [17.01.2009 13:49][--a------] C:\UsbFix.txt [27.12.2008 10:17][--a------] C:\CONFIG.SYS [27.12.2008 10:17][--a------] C:\IO.SYS [27.12.2008 10:17][--a------] C:\MSDOS.SYS [27.12.2008 10:17][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur fixe +- Listing des fichiers présents : [17.01.2009 12:42][-r-hs----] D:\autorun.inf --------------- [ Lecteur G ] ---------------- G: - Lecteur amovible +- Listing des fichiers présents : [01.08.2008 18:44][--a------] G:\iTunesSetup 7.7.1.11.exe [17.01.2009 12:41][-r-hs----] G:\autorun.inf --------------- [ Lecteur H ] ---------------- H: - Lecteur amovible +- Listing des fichiers présents : [17.01.2009 11:51][-r-hs----] H:\autorun.inf --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="https://www.google.com/?gws_rd=ssl" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe eMuleAutoStart=C:\Program Files\Emule - 0.49b (Xtreme - 7.1)\emule.exe -AutoStart SystemExplorer="C:\Program Files\System Explorer\SystemExplorer.exe" /TRAY [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] BigDog305=C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" APVXDWIN="C:\Program Files\Panda Security\Panda Global Protection 2009\APVXDWIN.EXE" /s SCANINICIO="C:\Program Files\Panda Security\Panda Global Protection 2009\Inicio.exe" Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" NeroFilterCheck=C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe RemoteControl8="C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe" PDVD8LanguageShortcut="C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe" BDRegion=C:\Program Files\Cyberlink\Shared Files\brs.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{583714c6-d73c-11dd-9ba4-001cdfdd08cc}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{583714c6-d73c-11dd-9ba4-001cdfdd08cc}\Shell\open\Command --------------- [ Nettoyage des disques ] ---------------- C:\autorun.inf ~> fichier appelé : "C:\"resycled\boot.com c:"" ( absent ! ) D:\autorun.inf ~> fichier appelé : "D:\"resycled\boot.com d:"" ( absent ! ) H:\autorun.inf ~> fichier appelé : "H:\"resycled\boot.com g:"" ( absent ! ) Supprimé ! - [26.12.2008 12:13][-r-hs----] C: esycled\boot.com Supprimé ! - [17.01.2009 12:42][-r-hs----] C:\autorun.inf Supprimé ! - [17.01.2009 13:59][dr-hs----] C: esycled Supprimé ! - [26.12.2008 12:13][-r-hs----] D: esycled\boot.com Supprimé ! - [17.01.2009 12:42][-r-hs----] D:\autorun.inf Supprimé ! - [17.01.2009 13:59][dr-hs----] D: esycled Supprimé ! - [26.12.2008 12:13][---------] G: esycled\boot.com Supprimé ! - [17.01.2009 12:41][-r-hs----] G:\autorun.inf Supprimé ! - [04.01.2009 00:35][dr-hs----] G: esycled Supprimé ! - [17.01.2009 11:51][-r-hs----] H:\autorun.inf Supprimé ! - [17.01.2009 11:46][dr-hs----] H: esycled --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [27.12.2008 10:17][--a------] C:\AUTOEXEC.BAT [05.08.2004 11:00][-rahs----] C:\NTDETECT.COM [04.01.2009 18:32][---hs----] C:\boot.ini [01.08.2008 18:44][--a------] G:\iTunesSetup 7.7.1.11.exe --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! D:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! G:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! H:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ----------------

Destrio5 · Answer

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Utilisateur anonyme · Answer

je doit selectionner : 1 month / 2 months ou 3 months au démarrage du programme ?

Utilisateur anonyme · Answer

sinon, pourquoi je doit aussi utiliser ce 2ème programme ? l'autre programme n'a pas marché ?

Destrio5 · Answer

Si le premier a très bien fonctionné mais RSIT, c'est pour vérifier.

Choisis l'option 1 mois ;)

Utilisateur anonyme · Answer

Merci de votre aide.
Mais avec RSIT je selectionne 1 month et ensuite il ouvre une petite fenêtre et c'est noté : Running Hijack This, et le téléchargement se bloque comme s'il avais planté.
C'est normale ? dois-je attendre plus longtemps (déja 5 min) ?

Utilisateur anonyme · Answer

je voudrais juste savoir une chose (oui je suis curieux, je sais...) :
comment se fait-t-il que UsbFix arrive a analyser et trouver le virus sur ma clé usb alors que je ne le trouve pas avec windows ??
Merci

Destrio5 · Answer

"comment se fait-t-il que UsbFix arrive a analyser et trouver le virus sur ma clé usb alors que je ne le trouve pas avec windows ??"
---> Tu avais activé les fichiers et dossiers cachés ?

Pour RSIT, ça ne devrait pas planter.

Utilisateur anonyme · Answer

oui, bien sur ! J'ai afficher les fichiers cachés et les fichiers masquées du système (je l'ai préciser dans mon annonce au début) mais il n'y avais rien sur ma clé USB.
Pour RSIT je sais pas et j'ai essayer de fermer tous mes programmes qui prennent de la bande passante (msn, emule, etc...) mais il bloque toujours.
Merci

Utilisateur anonyme · Answer

Par contre, je pense que UsbFix a fonctionné car je viens de débrancher et rebranché ma clé USB et mon ipod et je n'ai plus de message de l'antivirus.

Destrio5 · Answer

Oui UsbFix a bien fonctionné comme je te l'ai marqué.

Supprime RSIT et fais ceci :

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Utilisateur anonyme · Answer

Attend, ton lien de téléchargement ne marche pas. ni avec firefox, ni avec IE.

Destrio5 · Answer

Ah, tu es peut-être infecté par Tibs.

--> Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) sur ton Bureau.
--> Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée.
--> Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] Process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.

/!\ Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix. /!\

Utilisateur anonyme · Answer

Je viens de télécharger malwarebytes-anti-malware sur cublic.com (car ton lien était invalide)
j'ai aussi télécharger SmitfraudFix.exe
le quel j'utilise en premier ?

Destrio5 · Answer

Mon lien de téléchargement fonctionne.

Fais SmitfraudFix.

Utilisateur anonyme · Answer

pendant le scan de SmitfraudFix, mon antivirus m'a signaler ceci (2 messages différents).

- Virus inconnu bloqué : C:\WINDOW\SYSTEM32\GETVALUE.VBS
- Opération dangereuse bloquée : C:\DOCUMENTS AND SETTINGS\BERNEY RONALD\BUREAU\SMITFRAUDFIX\POLICIES.EXE

et voila le rapport.

SmitFraudFix v2.391

Rapport fait à 15:11:09.39, 17.01.2009
Executé à partir de C:\Documents and Settings\Berney Ronald\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\PsCtrls.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\PsImSvc.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\PskSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\TPSrv.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\pavsrv51.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\AVENGINE.EXE
C:\PROGRAM FILES\PANDA SECURITY\PANDA GLOBAL PROTECTION 2009\WebProxy.exe
c:\program files\panda security\panda global protection 2009\firewall\PSHOST.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Security\Panda Global Protection 2009\ApvxdWin.exe
C:\Program Files\Panda Security\Panda Global Protection 2009\SRVLOAD.EXE
C:\Program Files\Panda Security\Panda Global Protection 2009\PavBckPT.exe
C:\Program Files\System Explorer\SystemExplorer.exe
C:\WINDOWS\VM305_STI.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 mpa.one.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Berney Ronald


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BERNEY~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Berney Ronald\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BERNEY~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte VIA PCI 10/100Mo Fast Ethernet - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.18
DNS Server Search Order: 85.255.112.185

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Belkin Wireless G USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.18
DNS Server Search Order: 85.255.112.185

Description: Belkin Wireless G USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

Tu n'es pas infecté par Tibs mais tu as une infection WareOut, c'est pour cela que certains liens ne fonctionnent pas chez toi.

- Redémarre ton ordinateur en mode sans échec :
https://blog.sosordi.net/

- Double-clique sur SmitfraudFix.exe, choisis l'option 2 et Entrée.

- Réponds O (Oui) à ces deux questions si elles te sont posées :

Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?

- Un rapport sera généré, sauvegarde-le sur le Bureau.

- Redémarre en mode normal.

- Poste le rapport SmitfraudFix.

Utilisateur anonyme · Answer

Merci.
je vais tester tout sa maintenant.
Une question : c'est quoi WareOut ?

Destrio5 · Answer

Une infection qui redirige tes recherches Internet.

Utilisateur anonyme · Answer

Et comment faire pour ne pas se faire contaminer ?

Au faite voila mon rapport :


SmitFraudFix v2.391

Rapport fait à 15:40:38.29, 17.01.2009
Executé à partir de C:\Documents and Settings\Berney Ronald\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

"Et comment faire pour ne pas se faire contaminer ?"
---> Etre très vigilant sur Internet.

---> Relance SmitfraudFix et choisis l'option 5.

---> Répondre Oui à la question et poster le rapport.

Utilisateur anonyme · Answer

voila le rapport , et merci de tes conseils !

SmitFraudFix v2.391

Rapport fait à 16:01:48.62, 17.01.2009
Executé à partir de C:\Documents and Settings\Berney Ronald\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte VIA PCI 10/100Mo Fast Ethernet - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.18
DNS Server Search Order: 85.255.112.185

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Belkin Wireless G USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.18
DNS Server Search Order: 85.255.112.185

Description: Belkin Wireless G USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CCS\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21F03805-50A2-4534-8187-17C1B3F56077}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: DhcpNameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{681BD925-79FA-4085-926C-630BDCB591C7}: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\..\{804D2A4B-4155-4CC9-B137-D5883AAFB37C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.18,85.255.112.185

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Belkin Wireless G USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

Destrio5 · Answer

Passe un coup de MBAM.

Utilisateur anonyme · Answer

???
c'est quoi MBAM ???
en faite je me demande si je devrai pas formater mon pc et réinstaller windows XP ce serai plus simple et plus propre non ?

Destrio5 · Answer

Malwarebytes' Anti-Malware (MBAM).

"en faite je me demande si je devrai pas formater mon pc et réinstaller windows XP ce serai plus simple et plus propre non ?"
---> Plus simple, ça dépend pour qui. Plus propre, c'est possible.

Utilisateur anonyme · Answer

En faite, cela fait déja longtemps que j'ai installer windows xp mais j'ai internet que depuis 3 semaine (cadeau de noel) et comme je suis un peu touche à tout, j'essaye un tas de logiciels et de réglage sur mon pc (plus ou moins convaincants).
Donc je pense que le mieux est de formater/réinstaller (pour ça je connais très bien aucun soucil).
Une dernière chose: étant un peu novice d'internet, que sont les logiciels/réglages/sites à éviter absolument ?
Merci encore.

Destrio5 · Answer

"Une dernière chose: étant un peu novice d'internet, que sont les logiciels/réglages/sites à éviter absolument ?"
---> Oula, il y en a des tonnes.

Je peux te donner par contre :
http://forum.malekal.com/ftopic3257.php  

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) :
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

Utilisateur anonyme · Answer

Merci beaucoup de m'avoir aidé et conseiilé tout au long de cette journée, et j 'espère vous revoir bientôt sur commentcamarche.net !

@ plus merci !

Destrio5 · Answer

Je passe le sujet en résolu puisque tu vas formater.

Bonne fin de journée ;)

Virus sur support amovible ! HELP !

30 réponses

Votre réponse

Discussions similaires

Newsletters