Sujet Précédent Sujet Suivant

Probleme infection malware google/facebook...

goodistar38 -  
 goodistar38 -
Bonjour,

voilà mon problème :
lorsque j'ouvre une page internet, que ce soit avec firefox ou i.explorer, la page google qui s'ouvre (google = pade d'accueil) affiche le message suivant :
"Malware activity warning
your ip is blocked because malware activity from you"

j'ai fait une analyse avec mon antivirus (AVG) et ensuite avec malwarebytes qui n'ont donnés aucun résultat.
à noter que la page google suggère aussi de souscrire à l'offre de l'antivirus "Malware Doc".

d'autres sites ne fonctionne d'ailleurs plus du tout ("Not Found") comme gmail, facebook, wikipedia et meme certains logiciels comme msn ou ad-aware.

j'avais posté la question ds le forum internet on m'a conseiller de faire une analyse avec spybot search & destroy et ad-aware, ce que j'ai fais avec le premier (le deuxieme ne fonctionnant pas) et l'analyse n'a encore donnée aucun résultat. C'est pourquoi je poste ma question ds ce forum, parce qu'apparement je suis infecté :peur:

des idées ?
merci
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
Sasa93 Messages postés 261 Statut Membre 20
 
Salut je dirais que c'est ton malwarebytes qui fait sa
0
Réponse 2 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Bonsoir,
Téléchargez SmitfraudFix et enregistrez-le sur le bureau
* Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
* A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

Regarde bien le tuto qui est avec

/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

En mode sans echec la suppression des fichiers présents.

process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm
0
Réponse 3 / 21
goodistar38
 
voilà le rapport Smitfraudfix :

SmitFraudFix v2.398

Rapport fait à 18:32:31,31, 25/02/2009
Executé à partir de C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\AshEvtSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Labtec\WebCam10\WebCam10.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
127.0.0.1 spywareinfo.com
127.0.0.1 www.spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mattenzo

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mattenzo\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mattenzo\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MATTENZO\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="emqsys.dll"
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 82.216.111.125
DNS Server Search Order: 82.216.111.124
DNS Server Search Order: 82.216.111.121
DNS Server Search Order: 82.216.111.123

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 4 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
alors tu va me faire ceci avant de passer à l'option 2 de smithfraud :

Télécharge HostsXpert sur ton Bureau :

---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

ensuite :

Redémarre en mode sans échec comme indiqué ici ; Choisis ta session courante.

Relance SmitfraudFix Puis choisir l'option 2 suppression et me poster le rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
goodistar38
 
apparemment je ne peut plus démarrer en mode sans échec, quelque soit la session que j'ouvre l'ordinateur s'éteint directement après avoir choisi la session et redémarre en mode normal. Un message dit que windows ne reconnait pas la licence de l'ordinateur.

je fais la suppression en mode normal ou pas ?
0
Réponse 6 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
as tu un version originale de windows?
0
Réponse 7 / 21
goodistar38
 
Oui j'ai tout d'origine et rien de piraté
0
Réponse 8 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Tu as quel version de windows et à t-elle été activé.
0
Réponse 9 / 21
goodistar38
 
Ca fait 4 ans que j'ai ce pc, à la base j'avais windows xp sp2 qui a été mis à jour en sp3
après pour l'activation je pense que ca à été fait quand j'ai acheté l'ordi
0
Réponse 10 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
bon ba tans pis tu va le faire en mode normale même si ce n'est pas la bonne méthode.
0
Réponse 11 / 21
goodistar38
 
ok merci, voilà ce que ça donne :

Rapport fait à 19:49:24,53, 26/02/2009
Executé à partir de C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 82.216.111.125
DNS Server Search Order: 82.216.111.124
DNS Server Search Order: 82.216.111.121
DNS Server Search Order: 82.216.111.123

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 12 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Ensuite fait moi ceci :

Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

0
Réponse 13 / 21
goodistar38
 
voilà le rapport Genproc (j'attend tes conseils avant de faire ce qui est marqué) :

Rapport GenProc 2.385 [1] - 27/02/2009 à 20:18:19,51 - Windows XP

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Haxfix http://users.telenet.be/marcvn/tools/haxfix.exe (Marckie) sur le bureau.

- Double clique sur le fichier haxfix.exe pour installer haxfix. Coche "Create a desktop icon", clique "Next".
- Quand l'installation est terminée, vérifie que "Launch HaxFix" est coché, puis clique "Finish".
- Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

- Selectionne l'option 1 "Make logfile" en tapant 1, puis tape "Entrée" ;
- Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (%SystemDrive%\haxlog.txt)
- Copie le contenu de ce rapport dans ta réponse, ainsi qu'un nouveau rapport GenProc.

FIN rapport
0
Réponse 14 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Ba écoute tu eux déjà faire ça. ensuite on verra pour le reste.
0
Réponse 15 / 21
goodistar38
 
voilà le rapport haxfix (et ensuite le nouveau rapport GenProc) :

HAXFIX logfile - by Marckie

version 5.066
28/02/2009 0:31:39,89
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
matching services found
Aspi32
CmBatt

checking for matching safeboot services
no matching safeboot services found

--- Checking for Goldun - Spybanker ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for random used files and services
-- these files are not necessarily malicious
-- scanning all folders
C:\VALUEADD\Thumbs.db
C:\WINDOWS\Thumbs.db
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\npwmsdrm.dll
C:\WINDOWS\system32\fxsperf.dll
C:\WINDOWS\system32\kbdjpn.dll
C:\WINDOWS\system32\uwdf.exe
C:\WINDOWS\inf\netepvcm.PNF
C:\WINDOWS\Fonts\modern.fon
C:\WINDOWS\Fonts\ega40857.fon
C:\WINDOWS\Fonts\vgas874.fon
C:\WINDOWS\LAN4401\bcm4sbe5.cat
C:\WINDOWS\$NtUninstallwmp11$\asferror.dll
C:\WINDOWS\$NtServicePackUninstall$\fxsperf.dll
C:\WINDOWS\$NtServicePackUninstall$\snmptrap.exe
C:\WINDOWS\system32\drivers\ssm_mdfl.sys
C:\WINDOWS\system32\drivers\osaio.sys
C:\WINDOWS\system32\dllcache\modern.fon
C:\WINDOWS\system32\dllcache\kbdjpn.dll
C:\WINDOWS\system32\fr-fr\icardie.dll.mui
C:\WINDOWS\system32\oobe\setup\ident2.htm
C:\WINDOWS\system32\Samsung_USB_Drivers\2\ssm_mdfl.sys
C:\WINDOWS\system32\autorun\Drivers\Lan4401\bcm4sbe5.cat
C:\WINDOWS\system32\autorun\Drivers\Lan4401\Drivers\Win2k\bcm4sbe5.cat
C:\WINDOWS\LAN4401\Drivers\Win2k\bcm4sbe5.cat
C:\WINDOWS\$hf_mig$\KB902400\SP2QFE\migregdb.exe
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\asferror.dll
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\asferror.dll
C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.inf
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\eula.1044.txt
C:\WINDOWS\ServicePackFiles\i386\ident2.htm
C:\WINDOWS\ServicePackFiles\i386\tty.dll
C:\WINDOWS\ServicePackFiles\i386\fxsperf.dll
C:\WINDOWS\ServicePackFiles\i386\snmptrap.exe
C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.inf
C:\Documents and Settings\Mattenzo\Mes documents\Mes images\WebCam\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Mobb deep\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\G-unit\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Warren G\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Chamillionaire - The sound of revenge\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\MOP - Best of\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Ill at will vol.1\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Ill at will vol.2\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Muddy waters\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Malpractice\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Nas\Stillmatic\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Nas\The lost tapes\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Diplomatic immunity\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Cam'ron\Come home with me\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Juelz Santana\What the game's been missing\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man & Redman\How high\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man\Tical 0 The prequel\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Snoop Dogg\Doggystyle\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Ludacris\The red light district\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Warren G\I want it all\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Dilated peoples\Expansion team\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\NWA\Straight outta Compton\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\T.I\Urban legend\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Group home\A tear for the ghetto\Thumbs.db
C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Rick Ross\Port of Miami\Thumbs.db
C:\Program Files\Microsoft Works\Normal.bin
C:\Program Files\Microsoft Works\Thumbs.db
C:\Program Files\Windows Media Connect 2\wmccds.exe
C:\Program Files\Windows Media Connect 2\WMCCFG.exe
C:\Program Files\Xvid\vidccleaner.exe
C:\Program Files\DAEMON Tools Lite\Plugins\Images\iszmount.dll
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\da.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\de.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\en.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\fi.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\ko.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\nb.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\pl.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\ru.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\sv.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\zh_CN.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\zh_TW.lproj\QuickTime3GPPLocalized.qtr
C:\Program Files\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\zh_CN.lproj\QuickTimeAudioSupportLocalized.qtr
C:\Program Files\Dyyno\Dyyno Player\plugins\libnsc_plugin.dll
C:\Program Files\Dyyno\Dyyno Player\plugins\libsgimb_plugin.dll
C:\Program Files\ePSXe\plugins\padSSSPSX.dll
C:\Program Files\Messenger Plus! Live\Scripts\Screenshot Sender 4\WndSelect.handler.js
C:\Program Files\VideoLAN\VLC\plugins\liba52sys_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libau_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libfloat32tou16_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\liblpcm_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libmux_mpjpeg_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libpacketizer_copy_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libpodcast_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\librawvideo_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libshowintf_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libstream_out_gather_plugin.dll
C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0408.dll
C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0816.dll
C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0C0A.dll
C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0C0C.dll
C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE040C.dll
C:\Program Files\Samsung\Samsung PC Studio 3\USB Drivers\2\ssm_mdfl.sys
C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0408.dll
C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0816.dll
C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0C0A.dll
C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0C0C.dll
C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE040C.dll
C:\Acer\eManager\osaio.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys

checking for browser helper objects
no known browser helper objects found

checking for appinit files
no files found

checking for possible infected files
please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
C:\WINDOWS\system32\MMSwitch.dll] C29A96A349B926CED5229965AE3F8310

checking for Active Setup Installed Components
no known Active Setup Installed Components found

checking iexplore.exe
iexplore.exe is not infected

--- Checking for other Goldun, Spybanker and Haxdoor files ---
no other Haxdoor or Goldun files found

--- Catchme logfile - thank you Gmer ---

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 01:37:34
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

--- Analysing Catchme logfile ---

no matching regkeys found

Finished!

Le rapport GenProc :

Rapport GenProc 2.385 [2] - 28/02/2009 à 1:45:02,23 - Windows XP

# Etape 1/ Télécharge :

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** Mattenzo ***

# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0
Réponse 16 / 21
goodistar38
 
impossible de télécharger msnfix, tu aurais un lien stp pimprenelle ?
0
Réponse 17 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Pour msn fix il doit te manquer ceci :http://www.commentcamarche.net/telecharger/telecharger 91 7zip zprès avoir installé ceci il va s'ouvrir et tu n'auras plus qu'a faire extraire le fichier
0
Réponse 18 / 21
goodistar38
 
non je crois pas avoir besoin d'un log de décompression jai deja winrar et puis le probleme c'est que je peut meme pas accéder au site pour télécharger msnfix (comme d'autres sites, il ne marche pas !!).
0
Réponse 19 / 21
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Je signale au passe que le lien MSNFIX est un point zip, donc il est zippé, chez moi dès que je clique sur le lien le fichier ce télécharge et ensuite ouvre 7Zip pour que j'extrais le fichier.
0
Réponse 20 / 21
goodistar38
 
oui j'ai bien compris mais le problème c'est que je n'arrive pas à accéder à la page car certains sites sont bloqués à cause de mon infection. il faudrait m'envoyer le fichier d'une autre façon
0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse