Probleme infection malware google/facebook...

goodistar38 -  
 goodistar38 -
Bonjour,

voilà mon problème :
lorsque j'ouvre une page internet, que ce soit avec firefox ou i.explorer, la page google qui s'ouvre (google = pade d'accueil) affiche le message suivant :
"Malware activity warning
your ip is blocked because malware activity from you"

j'ai fait une analyse avec mon antivirus (AVG) et ensuite avec malwarebytes qui n'ont donnés aucun résultat.
à noter que la page google suggère aussi de souscrire à l'offre de l'antivirus "Malware Doc".

d'autres sites ne fonctionne d'ailleurs plus du tout ("Not Found") comme gmail, facebook, wikipedia et meme certains logiciels comme msn ou ad-aware.

j'avais posté la question ds le forum internet on m'a conseiller de faire une analyse avec spybot search & destroy et ad-aware, ce que j'ai fais avec le premier (le deuxieme ne fonctionnant pas) et l'analyse n'a encore donnée aucun résultat. C'est pourquoi je poste ma question ds ce forum, parce qu'apparement je suis infecté :peur:

des idées ?
merci
Configuration: Windows XP
Firefox 2.0.0.14

21 réponses

  • 1
  • 2
  1. Sasa93 Messages postés 261 Statut Membre 20
     
    Salut je dirais que c'est ton malwarebytes qui fait sa
    0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonsoir,
    Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

    Regarde bien le tuto qui est avec

    /!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

    En mode sans echec la suppression des fichiers présents.

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm
    0
  3. goodistar38
     
    voilà le rapport Smitfraudfix :

    SmitFraudFix v2.398

    Rapport fait à 18:32:31,31, 25/02/2009
    Executé à partir de C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\System32\AshEvtSvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\acer\epm\epm-dm.exe
    C:\Program Files\Launch Manager\QtZgAcer.EXE
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Labtec\WebCam10\WebCam10.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\acer\eRecovery\Monitor.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info
    127.0.0.1 spywareinfo.com
    127.0.0.1 www.spywareinfo.com

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mattenzo

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mattenzo\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mattenzo\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MATTENZO\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="emqsys.dll"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 82.216.111.125
    DNS Server Search Order: 82.216.111.124
    DNS Server Search Order: 82.216.111.121
    DNS Server Search Order: 82.216.111.123

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    alors tu va me faire ceci avant de passer à l'option 2 de smithfraud :

    Télécharge HostsXpert sur ton Bureau :

    ---> Décompresse-le (Clic droit >> Extraire ici)

    ---> Double-clique sur HostsXpert pour le lancer

    ---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

    PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    ensuite :

    Redémarre en mode sans échec comme indiqué ici ; Choisis ta session courante.

    Relance SmitfraudFix Puis choisir l'option 2 suppression et me poster le rapport.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. goodistar38
     
    apparemment je ne peut plus démarrer en mode sans échec, quelque soit la session que j'ouvre l'ordinateur s'éteint directement après avoir choisi la session et redémarre en mode normal. Un message dit que windows ne reconnait pas la licence de l'ordinateur.

    je fais la suppression en mode normal ou pas ?
    0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    as tu un version originale de windows?
    0
  8. goodistar38
     
    Oui j'ai tout d'origine et rien de piraté
    0
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Tu as quel version de windows et à t-elle été activé.
    0
  10. goodistar38
     
    Ca fait 4 ans que j'ai ce pc, à la base j'avais windows xp sp2 qui a été mis à jour en sp3
    après pour l'activation je pense que ca à été fait quand j'ai acheté l'ordi
    0
  11. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    bon ba tans pis tu va le faire en mode normale même si ce n'est pas la bonne méthode.
    0
  12. goodistar38
     
    ok merci, voilà ce que ça donne :

    Rapport fait à 19:49:24,53, 26/02/2009
    Executé à partir de C:\Documents and Settings\Mattenzo\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 82.216.111.125
    DNS Server Search Order: 82.216.111.124
    DNS Server Search Order: 82.216.111.121
    DNS Server Search Order: 82.216.111.123

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{9124E5F6-AF15-4A2E-80E4-AD5A3B713A92}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF3A6280-4529-4431-9622-7584A724F1CD}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.121 82.216.111.123
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBECD60B-FE84-4458-BFDE-901D3205E251}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  13. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ensuite fait moi ceci :

    Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

    Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
    Dézippe le dossier, double-clique sur GenProc.bat
    En final, poste le contenu du rapport qui s'affiche.
    Comment utiliser GenProc

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
  14. goodistar38
     
    voilà le rapport Genproc (j'attend tes conseils avant de faire ce qui est marqué) :

    Rapport GenProc 2.385 [1] - 27/02/2009 à 20:18:19,51 - Windows XP

    Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
    Ce logiciel va permettre de supprimer tous les fichiers temporaires.
    Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - Haxfix http://users.telenet.be/marcvn/tools/haxfix.exe (Marckie) sur le bureau.

    - Double clique sur le fichier haxfix.exe pour installer haxfix. Coche "Create a desktop icon", clique "Next".
    - Quand l'installation est terminée, vérifie que "Launch HaxFix" est coché, puis clique "Finish".
    - Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

    1. Make logfile (créer un rapport)
    2. Run auto fix (lancer la réparation en mode automatique)
    3. Run manual fix (lancer la réparation en mode manuel)
    E. Exit Haxfix (quitter Haxfix)

    - Selectionne l'option 1 "Make logfile" en tapant 1, puis tape "Entrée" ;
    - Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (%SystemDrive%\haxlog.txt)
    - Copie le contenu de ce rapport dans ta réponse, ainsi qu'un nouveau rapport GenProc.

    FIN rapport
    0
  15. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ba écoute tu eux déjà faire ça. ensuite on verra pour le reste.
    0
  16. goodistar38
     
    voilà le rapport haxfix (et ensuite le nouveau rapport GenProc) :

    HAXFIX logfile - by Marckie

    version 5.066
    28/02/2009 0:31:39,89
    running from C:\HaxFix

    --- Checking for Haxdoor ---

    checking for a3d files
    a3d files not found

    checking for matching notify keys
    no matching notify keys found

    checking for matching services
    matching services found
    Aspi32
    CmBatt

    checking for matching safeboot services
    no matching safeboot services found

    --- Checking for Goldun - Spybanker ---

    checking for SSODL keys
    no ssodl keys found

    checking for notify keys
    no notify keys found

    checking for services
    no services found

    checking for random used files and services
    -- these files are not necessarily malicious
    -- scanning all folders
    C:\VALUEADD\Thumbs.db
    C:\WINDOWS\Thumbs.db
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\npwmsdrm.dll
    C:\WINDOWS\system32\fxsperf.dll
    C:\WINDOWS\system32\kbdjpn.dll
    C:\WINDOWS\system32\uwdf.exe
    C:\WINDOWS\inf\netepvcm.PNF
    C:\WINDOWS\Fonts\modern.fon
    C:\WINDOWS\Fonts\ega40857.fon
    C:\WINDOWS\Fonts\vgas874.fon
    C:\WINDOWS\LAN4401\bcm4sbe5.cat
    C:\WINDOWS\$NtUninstallwmp11$\asferror.dll
    C:\WINDOWS\$NtServicePackUninstall$\fxsperf.dll
    C:\WINDOWS\$NtServicePackUninstall$\snmptrap.exe
    C:\WINDOWS\system32\drivers\ssm_mdfl.sys
    C:\WINDOWS\system32\drivers\osaio.sys
    C:\WINDOWS\system32\dllcache\modern.fon
    C:\WINDOWS\system32\dllcache\kbdjpn.dll
    C:\WINDOWS\system32\fr-fr\icardie.dll.mui
    C:\WINDOWS\system32\oobe\setup\ident2.htm
    C:\WINDOWS\system32\Samsung_USB_Drivers\2\ssm_mdfl.sys
    C:\WINDOWS\system32\autorun\Drivers\Lan4401\bcm4sbe5.cat
    C:\WINDOWS\system32\autorun\Drivers\Lan4401\Drivers\Win2k\bcm4sbe5.cat
    C:\WINDOWS\LAN4401\Drivers\Win2k\bcm4sbe5.cat
    C:\WINDOWS\$hf_mig$\KB902400\SP2QFE\migregdb.exe
    C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\asferror.dll
    C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\asferror.dll
    C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.inf
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\eula.1044.txt
    C:\WINDOWS\ServicePackFiles\i386\ident2.htm
    C:\WINDOWS\ServicePackFiles\i386\tty.dll
    C:\WINDOWS\ServicePackFiles\i386\fxsperf.dll
    C:\WINDOWS\ServicePackFiles\i386\snmptrap.exe
    C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.inf
    C:\Documents and Settings\Mattenzo\Mes documents\Mes images\WebCam\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Mobb deep\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\G-unit\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Warren G\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Chamillionaire - The sound of revenge\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\MOP - Best of\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Ill at will vol.1\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Ill at will vol.2\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Muddy waters\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Redman\Malpractice\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Nas\Stillmatic\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Nas\The lost tapes\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Diplomatic immunity\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Cam'ron\Come home with me\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\The diplomats\Juelz Santana\What the game's been missing\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man & Redman\How high\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Wu-tang family\Method man\Tical 0 The prequel\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Snoop Dogg\Doggystyle\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Ludacris\The red light district\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Warren G\I want it all\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Dilated peoples\Expansion team\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\NWA\Straight outta Compton\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\T.I\Urban legend\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Group home\A tear for the ghetto\Thumbs.db
    C:\Documents and Settings\Mattenzo\Bureau\My Mzik\Rick Ross\Port of Miami\Thumbs.db
    C:\Program Files\Microsoft Works\Normal.bin
    C:\Program Files\Microsoft Works\Thumbs.db
    C:\Program Files\Windows Media Connect 2\wmccds.exe
    C:\Program Files\Windows Media Connect 2\WMCCFG.exe
    C:\Program Files\Xvid\vidccleaner.exe
    C:\Program Files\DAEMON Tools Lite\Plugins\Images\iszmount.dll
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\da.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\de.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\en.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\fi.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\ko.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\nb.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\pl.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\ru.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\sv.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\zh_CN.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTime3GPP.Resources\zh_TW.lproj\QuickTime3GPPLocalized.qtr
    C:\Program Files\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\zh_CN.lproj\QuickTimeAudioSupportLocalized.qtr
    C:\Program Files\Dyyno\Dyyno Player\plugins\libnsc_plugin.dll
    C:\Program Files\Dyyno\Dyyno Player\plugins\libsgimb_plugin.dll
    C:\Program Files\ePSXe\plugins\padSSSPSX.dll
    C:\Program Files\Messenger Plus! Live\Scripts\Screenshot Sender 4\WndSelect.handler.js
    C:\Program Files\VideoLAN\VLC\plugins\liba52sys_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libau_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libfloat32tou16_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\liblpcm_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libmux_mpjpeg_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libpacketizer_copy_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libpodcast_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\librawvideo_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libshowintf_plugin.dll
    C:\Program Files\VideoLAN\VLC\plugins\libstream_out_gather_plugin.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0408.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0816.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0C0A.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE0C0C.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\lang\PSIE040C.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\USB Drivers\2\ssm_mdfl.sys
    C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0408.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0816.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0C0A.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE0C0C.dll
    C:\Program Files\Samsung\Samsung PC Studio 3\Update\Lang\PSIE040C.dll
    C:\Acer\eManager\osaio.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
    Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
    Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssm_mdfl
    Imagepath REG_EXPAND_SZ system32\DRIVERS\ssm_mdfl.sys

    checking for browser helper objects
    no known browser helper objects found

    checking for appinit files
    no files found

    checking for possible infected files
    please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
    C:\WINDOWS\system32\MMSwitch.dll] C29A96A349B926CED5229965AE3F8310

    checking for Active Setup Installed Components
    no known Active Setup Installed Components found

    checking iexplore.exe
    iexplore.exe is not infected

    --- Checking for other Goldun, Spybanker and Haxdoor files ---
    no other Haxdoor or Goldun files found

    --- Catchme logfile - thank you Gmer ---

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-28 01:37:34
    Windows 5.1.2600 Service Pack 3 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    --- Analysing Catchme logfile ---

    no matching regkeys found

    Finished!

    Le rapport GenProc :

    Rapport GenProc 2.385 [2] - 28/02/2009 à 1:45:02,23 - Windows XP

    # Etape 1/ Télécharge :

    - MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** Mattenzo ***

    # Etape 2/

    Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
    - Exécute l'option R.
    - Si l'infection est détectée, exécute l'option N.
    - Sauvegarde ce rapport sur ton bureau.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport MSNfix situé sur le Bureau ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ____________________________________________________________________________________________________________

    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    0
  17. goodistar38
     
    impossible de télécharger msnfix, tu aurais un lien stp pimprenelle ?
    0
  18. goodistar38
     
    non je crois pas avoir besoin d'un log de décompression jai deja winrar et puis le probleme c'est que je peut meme pas accéder au site pour télécharger msnfix (comme d'autres sites, il ne marche pas !!).
    0
  19. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Je signale au passe que le lien MSNFIX est un point zip, donc il est zippé, chez moi dès que je clique sur le lien le fichier ce télécharge et ensuite ouvre 7Zip pour que j'extrais le fichier.
    0
  20. goodistar38
     
    oui j'ai bien compris mais le problème c'est que je n'arrive pas à accéder à la page car certains sites sont bloqués à cause de mon infection. il faudrait m'envoyer le fichier d'une autre façon
    0
  • 1
  • 2