Virus puissant
Fermé
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
-
18 févr. 2009 à 07:04
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 19 févr. 2009 à 09:19
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 19 févr. 2009 à 09:19
A voir également:
- Virus puissant
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
16 réponses
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
18 févr. 2009 à 09:11
18 févr. 2009 à 09:11
Bonsoir,
en effet tu as une infection WAREOUT, tes DNS sont redirigé vers l'ukraine...et sachant ce que tu dit ATTENTION avec tes DD externes ils sont infecté donc branché les tous a ton PC sans les ouvrir durant la desinfection
donc :
Option 1 - Recherche :
* Télécharge Smitfraudfix et enregistre le sur le bureau https://www.androidworld.fr/
(c est le numéro 2 en bas de la page) :
* Ensuite double clique sur smitfraudfix puis exécuter
* Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)
* copier/coller le rapport dans la réponse.
Un tutoriel sonore et animé est à ta disposition sur le site.
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
en effet tu as une infection WAREOUT, tes DNS sont redirigé vers l'ukraine...et sachant ce que tu dit ATTENTION avec tes DD externes ils sont infecté donc branché les tous a ton PC sans les ouvrir durant la desinfection
donc :
Option 1 - Recherche :
* Télécharge Smitfraudfix et enregistre le sur le bureau https://www.androidworld.fr/
(c est le numéro 2 en bas de la page) :
* Ensuite double clique sur smitfraudfix puis exécuter
* Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)
* copier/coller le rapport dans la réponse.
Un tutoriel sonore et animé est à ta disposition sur le site.
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
18 févr. 2009 à 09:43
18 févr. 2009 à 09:43
Bonne comme vous le voyez je suis encore en traint de faire mon scan malware et j'ai du utiliser quelque utilitaire anti-shutdown car... le virus fait rebooter mon ordinateur.
SmitFraudFix v2.396
Scan done at 3:41:17,39, 2009-02-18
Run from C:\Documents and Settings\Steve\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Digital Media Reader\readericon45G.exe
C:\Program Files\eMachines Bay Reader\shwiconem.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Genie-Soft\GBMPro8\GBMAgent.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\serveurweb\apache\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Creative Professional\E-MU 1616\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\serveurweb\apache\bin\apache.exe
C:\serveurweb\mysql\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OpenERP AllInOne\Server\service\OpenERPServerService.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\OpenERP AllInOne\Server\openerp-server.exe
C:\Program Files\OpenERP AllInOne\Web\python25\PythonService.exe
c:\docume~1\steve\locals~1\temp\cdm\{d5318dac-2620-42d4-9c55-179065da0aad}\STacSV.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\OpenERP AllInOne\Web\python25\python.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Vuze\Azureus.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Shut It\ShutIt.exe
C:\Program Files\ShutdownGuard\ShutdownGuard.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Steve\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
127.0.0.1 www.spywareinfo.com
127.0.0.1 spywareinfo.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\autorun.inf FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Steve
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Steve\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Steve\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Steve\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.396
Scan done at 3:41:17,39, 2009-02-18
Run from C:\Documents and Settings\Steve\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Digital Media Reader\readericon45G.exe
C:\Program Files\eMachines Bay Reader\shwiconem.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Genie-Soft\GBMPro8\GBMAgent.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\serveurweb\apache\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Creative Professional\E-MU 1616\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\serveurweb\apache\bin\apache.exe
C:\serveurweb\mysql\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OpenERP AllInOne\Server\service\OpenERPServerService.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\OpenERP AllInOne\Server\openerp-server.exe
C:\Program Files\OpenERP AllInOne\Web\python25\PythonService.exe
c:\docume~1\steve\locals~1\temp\cdm\{d5318dac-2620-42d4-9c55-179065da0aad}\STacSV.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\OpenERP AllInOne\Web\python25\python.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Vuze\Azureus.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Shut It\ShutIt.exe
C:\Program Files\ShutdownGuard\ShutdownGuard.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Steve\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
127.0.0.1 www.spywareinfo.com
127.0.0.1 spywareinfo.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\autorun.inf FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Steve
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Steve\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Steve\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Steve\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{61328F82-F466-42EF-A320-6FB0F99ABD51}: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.39,85.255.112.40
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
18 févr. 2009 à 09:51
18 févr. 2009 à 09:51
re
surtout ne pas faire plusieurs scan en meme temps sa risque de faussé les resultat et les logiciel peuvent entrée en conflit donc continue ton scan avec malwarebyte à la fin supprime tout ce qu'il trouve car il va en trouver et poste le rapport
puis redemarre ton PC au bip tapote F8 et choisit mode sans echec puis relance simtfraudfix en option 2 et poste le rapport (ne fait rien pendant le scan)
surtout ne pas faire plusieurs scan en meme temps sa risque de faussé les resultat et les logiciel peuvent entrée en conflit donc continue ton scan avec malwarebyte à la fin supprime tout ce qu'il trouve car il va en trouver et poste le rapport
puis redemarre ton PC au bip tapote F8 et choisit mode sans echec puis relance simtfraudfix en option 2 et poste le rapport (ne fait rien pendant le scan)
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
18 févr. 2009 à 09:53
18 févr. 2009 à 09:53
puis après avoir l'option 2 de simtfraud en mode sans echec ENREGISTRE LE RAPPORT sur ton bureau
puis toujours en mode sans echec relance simtfraudfix mais cette fois fait l'option 5 et enregsitre aussi le rapport et poste les 2 rapports
puis en mode normale APRES avoir fait tout les scan poste un nouveau rapport hijackthis
puis toujours en mode sans echec relance simtfraudfix mais cette fois fait l'option 5 et enregsitre aussi le rapport et poste les 2 rapports
puis en mode normale APRES avoir fait tout les scan poste un nouveau rapport hijackthis
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
18 févr. 2009 à 16:42
18 févr. 2009 à 16:42
Voici le rédultant de Malware
Je vais faire ce que vous m'avez dit ce soir en revenant...
Merci beaucoup vous êtes bien gentil :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3
2009-02-18 10:40:16
mbam-log-2009-02-18 (10-40-10).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|P:\|Q:\|R:\|S:\|T:\|U:\|V:\|W:\|X:\|Y:\|Z:\|)
Eléments examinés: 352125
Temps écoulé: 7 hour(s), 55 minute(s), 36 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{61328f82-f466-42ef-a320-6fb0f99abd51}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxgmlffxcx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxxjdekkab.sys (Trojan.Agent) -> No action taken.
Je vais faire ce que vous m'avez dit ce soir en revenant...
Merci beaucoup vous êtes bien gentil :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3
2009-02-18 10:40:16
mbam-log-2009-02-18 (10-40-10).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|P:\|Q:\|R:\|S:\|T:\|U:\|V:\|W:\|X:\|Y:\|Z:\|)
Eléments examinés: 352125
Temps écoulé: 7 hour(s), 55 minute(s), 36 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{61328f82-f466-42ef-a320-6fb0f99abd51}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxgmlffxcx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxxjdekkab.sys (Trojan.Agent) -> No action taken.
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
18 févr. 2009 à 16:53
18 févr. 2009 à 16:53
;) pour suivre,si poplus est là,sinon je t'avancerais.
Tu n'as pas laissé le scan terminé sur mawarebytes ("no action taken),donc tu as fais le scan pour rien.
1/
Nettoyage :
Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8.
Un menu va apparaître, choisis Mode sans échec grâce aux flèches directionnelles de ton clavier et appuie ensuite sur le touche Entrée de ton clavier.
- Lance SmitfraudFix double clic sur SmitfraudFix.cmd (ne clique sur aucun autre fichier)
- Choisis l’option 2 et appuie sur Entrée
- Réponds o (Oui) aux deux questions suivantes si elles sont posées
- Un rapport sera généré sauvegarde le dans un dossier.
Redémarre en mode normal :
- Menu Démarrer
- Arrêter
- Redémarre l’ordinateur
Poste l’intégralité du rapport que tu as sauvegardé.
2/Pour le detournement de Dns
( sous Vista , bien désactiver l 'UAC avant )
Télécharger Smitfraudfix par S!RI :
* ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
* Décompresser l'archive sur le bureau .
* Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
* Appuyer sur une touche pour continuer .
* Arriver à l'invite de commande, saisir la lettre f afin de basculer le fix en langue française
* Au menu, choisir l’option 5 :Recherche et suppression détournement DNS
* Laisser travailler l'outil .
* Une fois terminer, un rapport est sauvegardé sur le PC ici > C:\Rapport.txt
3/Puis refais un scan complet avec malwarebytes et postes le rapport
Tu n'as pas laissé le scan terminé sur mawarebytes ("no action taken),donc tu as fais le scan pour rien.
1/
Nettoyage :
Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8.
Un menu va apparaître, choisis Mode sans échec grâce aux flèches directionnelles de ton clavier et appuie ensuite sur le touche Entrée de ton clavier.
- Lance SmitfraudFix double clic sur SmitfraudFix.cmd (ne clique sur aucun autre fichier)
- Choisis l’option 2 et appuie sur Entrée
- Réponds o (Oui) aux deux questions suivantes si elles sont posées
- Un rapport sera généré sauvegarde le dans un dossier.
Redémarre en mode normal :
- Menu Démarrer
- Arrêter
- Redémarre l’ordinateur
Poste l’intégralité du rapport que tu as sauvegardé.
2/Pour le detournement de Dns
( sous Vista , bien désactiver l 'UAC avant )
Télécharger Smitfraudfix par S!RI :
* ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
* Décompresser l'archive sur le bureau .
* Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
* Appuyer sur une touche pour continuer .
* Arriver à l'invite de commande, saisir la lettre f afin de basculer le fix en langue française
* Au menu, choisir l’option 5 :Recherche et suppression détournement DNS
* Laisser travailler l'outil .
* Une fois terminer, un rapport est sauvegardé sur le PC ici > C:\Rapport.txt
3/Puis refais un scan complet avec malwarebytes et postes le rapport
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
18 févr. 2009 à 17:00
18 févr. 2009 à 17:00
1/Restaurer tes Hosts
R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
2/ Ensuite 1 seul antivirus imperativement donc je te conseille de desinstaller Avg.Utilises l'utilitaire Avg afin de le supprimer proprement
http://www.avg.com/fr.36
R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
2/ Ensuite 1 seul antivirus imperativement donc je te conseille de desinstaller Avg.Utilises l'utilitaire Avg afin de le supprimer proprement
http://www.avg.com/fr.36
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
18 févr. 2009 à 17:57
18 févr. 2009 à 17:57
Bonjour ici
sprudhom tu peux suivre la procedure indiqué
juste une chose pour reverif que tout est supprimé sur malwarebyte fait un scan RAPIDE et clic bien sur afficher resultat et clic sur suppression ensuite
car sa doit pas etre drole "Temps écoulé: 7 hour(s), 55 minute(s), 36 second(s) " donc le rapide c'est 15 min
et poste bien les rapport
sprudhom tu peux suivre la procedure indiqué
juste une chose pour reverif que tout est supprimé sur malwarebyte fait un scan RAPIDE et clic bien sur afficher resultat et clic sur suppression ensuite
car sa doit pas etre drole "Temps écoulé: 7 hour(s), 55 minute(s), 36 second(s) " donc le rapide c'est 15 min
et poste bien les rapport
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
18 févr. 2009 à 18:02
18 févr. 2009 à 18:02
Salut plopus
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
19 févr. 2009 à 00:21
19 févr. 2009 à 00:21
J'ai un problème...
J'utilise truecrypt avec mes disques dur externes... donc je dois les monter avant de les désinfecter...
Truecrypt utilise un service... donc en mode sans échec je suis incapable de le monter... est-ce possible de forcer un service en mode sans échec... quelqu'un a une solution...
Je sais plus quoi faire mon ordinateur infecté est maintenant hors connection et je n'ai même plus accès à ma fenêtre de connection réseau pour changer mes dns ni à l'invite de commande...
J'utilise truecrypt avec mes disques dur externes... donc je dois les monter avant de les désinfecter...
Truecrypt utilise un service... donc en mode sans échec je suis incapable de le monter... est-ce possible de forcer un service en mode sans échec... quelqu'un a une solution...
Je sais plus quoi faire mon ordinateur infecté est maintenant hors connection et je n'ai même plus accès à ma fenêtre de connection réseau pour changer mes dns ni à l'invite de commande...
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
19 févr. 2009 à 00:33
19 févr. 2009 à 00:33
Bonsoir,
les infections Smitfraudfix ne passent pas par les disques externes et les supports amovibles.
Donc inutile de monter tes disques pour aller en mode sans échec.
les infections Smitfraudfix ne passent pas par les disques externes et les supports amovibles.
Donc inutile de monter tes disques pour aller en mode sans échec.
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
19 févr. 2009 à 01:16
19 févr. 2009 à 01:16
Ok c'est juste que plus haut on me disais de laisser tout connecter en mode sans échec.
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
19 févr. 2009 à 01:18
19 févr. 2009 à 01:18
Je ne risque pas de le repogner en connectant mes disques dur externes
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
19 févr. 2009 à 01:48
19 févr. 2009 à 01:48
Bon j'ai fait le cleaning en mode sans échec. J'ai redémarer ne première fois un message comme quoi windows a fermer userinit pour moi juste après le logon. Après ce message rien ne se passe pendant plusieurs minutes... je fait control alt delete et dans le taskmanager je démare explorer. Là mon bureau s'affiche...
Je me connecte avec firefox j'essais d'envoyer mon rapport sur comment sa marche... l'ordi gèle... je dois redémarrer... en redémarant... et bien même chose que la première sauf que là probablement que mes DNS ont encore changer... je n'ai plas accès à internet et je ne peut vous envoyer le rapport...
Alors que dois-je faire...
Je me connecte avec firefox j'essais d'envoyer mon rapport sur comment sa marche... l'ordi gèle... je dois redémarrer... en redémarant... et bien même chose que la première sauf que là probablement que mes DNS ont encore changer... je n'ai plas accès à internet et je ne peut vous envoyer le rapport...
Alors que dois-je faire...
sprudhom
Messages postés
87
Date d'inscription
jeudi 11 septembre 2008
Statut
Membre
Dernière intervention
21 novembre 2019
6
19 févr. 2009 à 01:50
19 févr. 2009 à 01:50
Je vais peut-être me reconvertir à Linux... lol
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
19 févr. 2009 à 09:19
19 févr. 2009 à 09:19
tu arrive ou pas à relancer malwarebyte ? as t'il trouvé des chose encore ?
sinon pour ton internet
va dans demarrer puis panno de config
puis connexion reseau et internet puis connexion reseau
puis cliic droit proprizete sur l'icone de ta connexion active internet
puis va sur protocole TCP et clic sur propriete
ensuite regarde soit tu as de cocher en haut et en bas pour les DNS obtenir IP et DNS AUTOMATIQUEMENT
SOIT tu as une ip fix et dans ce cas verif que ta passerelle par defaulot n'est pas changer en generam c'est 192.168.1.1 tout depend de ton fournisseur d'accés
mais fait malwarebyte et simtfraudfix et poste les rapport
sinon pour ton internet
va dans demarrer puis panno de config
puis connexion reseau et internet puis connexion reseau
puis cliic droit proprizete sur l'icone de ta connexion active internet
puis va sur protocole TCP et clic sur propriete
ensuite regarde soit tu as de cocher en haut et en bas pour les DNS obtenir IP et DNS AUTOMATIQUEMENT
SOIT tu as une ip fix et dans ce cas verif que ta passerelle par defaulot n'est pas changer en generam c'est 192.168.1.1 tout depend de ton fournisseur d'accés
mais fait malwarebyte et simtfraudfix et poste les rapport