pc infecté par un spywre Résolu/Fermé

Question

Bonjour,j'ai chez moi le pc d'une amie qui a chopé un spyware.je souhaiterais donc avoir de l'aide afin de le debarrasser de cette saloperie. ça serait vraiment sympa que quelqu'un de qualifié me donne un bon coup de main.

Utilisateur anonyme · Answer

Fais un scan HijackThis : : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Avant de lancer HijackThis, renomme-le ! 
Pour cela, suis le chemin ci-dessous, jusqu' au fichier en gras : 

C:\Program files\Trend Micro\HijackThis\HijackThis.exe 

Clique droit dessus et choisis "renommer" : tape moulin.exe et valide. 
Puis, clique droit sur "moulin.exe" et choisis Envoyer vers -> Bureau (créer un raccourci). 
Reviens sur le bureau et clique sur le nouvel icône pour le lancer.
*. Accepte la license en cliquant sur le bouton "I Accept" 
*. Choisis l'option "Do a system scan and save a log file" 
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
*. Colle le rapport que tu viens de copier sur ce forum 
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux

mouton72 · Answer

merci pour ta reponse aussi rapide,par contre j'ai une question,je vais telecharger le programme via mon pc,pui le mettre sur ma clé usb afin de l'installer sur son pc.est ce que le spyware peu s'installer sur ma clé et infecter mon pc kan je vais la brancher ds un de mes port usb??
je ne peux pas fairer autrment,en effet le virus lui empechant toute connexion a internet,j'ai donc pri son pc chez moi,je l'ai donc seulement branché sur le secteur

Utilisateur anonyme · Answer

tout dépend du virus.ta clef pourrai être infecté a son tour.

mouton72 · Answer

il me semble avoir aperçu a un moment donné le nom vundo,qui est le nom d'un virus apparement.ce qui faudrait faire c ke j'installe tous les programmes directement sur ma clé usb,je les installe sur son pc et faire la desinfection.apres moi ma clé c pas grave si jmen sert plus,jen rachetrais une neuve,tu vois ce que je veux dire?
sinon comment pourrait on faire pour desinfecter son pc?

Utilisateur anonyme · Answer

Pour avoir une approche convenable de l'infection il faut faire le post 1.
Pour vundo.
Télécharge et installe 
   https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats 
• Coche tous les éléments détectés puis clique sur Supprimer la sélection 
• Enregistre le rapport 
• S'il t'est demandé de redémarrer, clique sur Yes 

• Poste le rapport de scan après la suppression ici
.
Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

mouton72 · Answer

ok, mais une fois le programme installé,il faut que je le mette sur ma clé afin de l'installer sur lotr pc,car ce n'est pas le mien que je veux tester.mais une fois que celà sera fait et le rapport effectué,je vais devoir le copier sur ma clé pour pouvoir le remettre sur le forum,mais c'est a ce moment là que je me pose la question du risque d'infection de mon pc a son tour!!!

Utilisateur anonyme · Answer

* Une précaution très simple à prendre avec les clés USB, si vous devez connecter la vôtre sur un PC public même infecté : il suffit tout simplement d'avoir une clé USB verrouillée en écriture contenant un dossier autorun.inf.
    * Vous avez aussi la possibilité de vacciner votre clé USB en créant des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports que l'on connecterait sur un PC infecté, et leur attribuer la propriété lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager ! (Merci à Gof pour cette astuce ;-) ) Télécharger l'exécutable suivant :  http://perso.orange.fr/-Gof/DL/VaccinUSB.exe

          o Il vous suffit de copier-coller le fichier à la racine du disque que vous souhaitez "vacciner", puis de double-cliquer sur le fichier. Seront ainsi créés des répertoires du même nom que les fichiers infectieux les plus courants, vous pourrez ensuite supprimer le fichier VaccinUSB.exe
          o Cette astuce très pratique vous permettra de garder votre clé propre même en la connectant à un pc infecté !

mouton72 · Answer

ouh là,je suis pas calé en informatique,et là je dois avoué que je ne comprends pas tout!!!

Utilisateur anonyme · Answer

Tu clic sur le lien .Tu télécharges et install.
Il vous suffit de copier-coller le fichier à la racine du disque que vous souhaitez "vacciner.Pour toi ce sera ta clef usb

mouton72 · Answer

ok,et qu'appelles tu exactement la racine du disque?
une fois que g branché ma clé sur mon pc,j'ai juste a copier coller le fichier dessus c tout?

Utilisateur anonyme · Answer

quand tu double clique sur l'icone de ta clef usb (dans ton cas)ca va t'afficher tous ce qui se trouve à la racine de ton disque.Donc tu fait coller dans ta clef usb
A+

mouton72 · Answer

j'ai cliqué comme tu m'as dit sur l'icone dans poste de travail mais ça ne fait que m'ouvrir une fenetre de ma clé avec ce que j'ai mis dessus!! desolé d'etre long la dessus,mais une fois que ma clé sera protegée la suite(la desinfection) ira plus vite

Utilisateur anonyme · Answer

Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées. Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :

mouton72 · Answer

bon j'ai fait le debut de la manip,c'est a dire copier collé l'executable sur ma clé usb,pui double cliquer dessus.
une petite fenetre de desinfection est apparue et a la fin un dossier texte donc intitulé vaccinusb.txt est apparu
. mais je ne vois pas de vaccinusb.exe

Utilisateur anonyme · Answer

vaccinusb.exe est l'exécutable que tu as installé.Vires le avec le panneau de con.figuration.

mouton72 · Answer

je ne le trouve pas dans panneau de configuration,en fait j'ai juste telecharger sans l'executer au depart. une fois sur mon bureau j'ai copier collé le fichier sur ma clé usb et c'est là que j'ai double cliké.par contre je ne vois pas de fichiers repertoires comme tu m'as indiqué plus haut!!!

mouton72 · Answer

bon je vais me coucher,je suis fatigué.Jespere que demain quelqu'un pourra m'aider

mouton72 · Answer

bonjour me revoilà,bon je viens de reussir la manip pour vacciner ma clé usb,maintenant je peux installer les logiciels de desinfection et commencer par un rapport hijackthis.pourrais je avoir le lien svp?

mouton72 · Answer

voilà mon rapport hiijackthis.
j'espere que vous m'aiderez
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:51, on 21/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\fxsteller.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {077c6ac0-4c87-4268-a930-71dc39d3b049} - C:\WINDOWS\system32\zilozama.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: {683f2fb2-b6f9-cebb-a174-4090baabf09b} - {b90fbaab-0904-471a-bbec-9f6b2bf2f386} - C:\WINDOWS\system32\iegsbl.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] fxsteller.exe
O4 - HKLM\..\Run: [Gzebocifalu] rundll32.exe "C:\WINDOWS\Kfojowetoh.dll",e
O4 - HKLM\..\Run: [difigivisi] Rundll32.exe "C:\WINDOWS\system32\linanotu.dll",s
O4 - HKLM\..\Run: [ec4c4b46] rundll32.exe "C:\WINDOWS\system32\yijazowi.dll",b
O4 - HKLM\..\Run: [CPMef7f78da] Rundll32.exe "c:\windows\system32
avavaze.dll",a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [difigivisi] Rundll32.exe "C:\WINDOWS\system32\linanotu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\bitonuta.dll iegsbl.dll c:\windows\system32
avavaze.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32
avavaze.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32
avavaze.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Utilisateur anonyme · Answer

Télécharge et installe
http://www.clubic.com/telecharger-fiche215092-malwarebytes-a­nti-malware.html
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici
.
Si tu as besoin d’aide regarde ce tutorial

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

mouton72 · Answer

j'ai un souci,j'essais de le mettre sur ma clé usb afin de le lancer sur lotre pc a desinfecter mais ça ne marche pas.

Utilisateur anonyme · Answer

Pour pouvoir avancer un peu plus vite fait cr qui suit .
démarres le pc infecte en mode sans échec avec prise  en charge réseau.De cette façon tu pourras travailler et télécharger sur le même pc .
Redémarre en mode sans échec 
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...) 

Pour toi ce seras (Mode Sans Échec avec prise en charge réseau) .

mouton72 · Answer

decidement,là ce sera pas possible,moi je suis chez orange et lotre pc est chez neuf.sfr..et je n'ai pas sa neuf box,c'est pour celà que je n'ai pas d'autre solution que de travailler en parrallele avec ma clé usb.
en fait quand je mets ma clé sur son pc et que je veux ouvrir mbam,il n'y a plus l'extension .exe a la fin,du coup je clik mais rien ne se passe.
sinon d'apres le rapport hijackthis,tu as vu le type d'infection?

Utilisateur anonyme · Answer

remet mbam sur la clef usb.Demarre l'autre pc en mode sans echec et installes mbam.Redemarres en mode normal et lance une analyse .

mouton72 · Answer

je dois prendre tout le programme dans "program files" ou seulement un fichier specifique?

Utilisateur anonyme · Answer

Tu télécharges mbam sur ton pc tu deplaces dans ta clef usb et tu installes mbam sur l'autre pc suivant les instructions précédentes.pour répondre a ta question tu déplaces le dossier.

mouton72 · Answer

bon,g installé mbam sur mon pc avec ses mises a jour,ensuite g mi tout le programme sur ma clé,je l'ai connecté sur lotre pc mais là j'arrive pas a l'installer sur le pc infecté.quel fichier prendre?

mouton72 · Answer

ça me soule,je n'arrive pas a installer mbam sur lotre pc,ça ne marche pas.
pour hijackthis aucun probleme mais mbam ça veu pas!!

mouton72 · Answer

j'ai pu installer mbam mais a partir de l'executable que j'ai enregistrer sur le bureau.donc vu ke le pc infecté est chez moi donc pas connecté sur internet je n'ai pas pu faire les mises a jour.j'espere que celà marchera quand meme

Utilisateur anonyme · Answer

Tu doit absolument faire les mises a jour

mouton72 · Answer

bon ba là je suis coincé alors,vu que les mises a jour je peux les faire a partir de mon pc maiq qu'ensuite je n'arrive pas a installer le programme sur l'autre pc!!!
il doit pourtant y avoir quand meme une solution

Utilisateur anonyme · Answer

Cli sur le lien
https://www.broadcom.com/support/security-center

mouton72 · Answer

merci sympa,je te met quand meme le rapport pour voir.d'apres ce que je vois il a quand meme supprimé des vundo. di moi ce te dis ce rapport.

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3

21/03/2009 16:05:22
mbam-log-2009-03-21 (16-05-22).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 90797
Temps écoulé: 54 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 6
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 12
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\yijazowi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zilozama.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\linanotu.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32
avavaze.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bitonuta.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iegsbl.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b90fbaab-0904-471a-bbec-9f6b2bf2f386} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b90fbaab-0904-471a-bbec-9f6b2bf2f386} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{077c6ac0-4c87-4268-a930-71dc39d3b049} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{077c6ac0-4c87-4268-a930-71dc39d3b049} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{077c6ac0-4c87-4268-a930-71dc39d3b049} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b90fbaab-0904-471a-bbec-9f6b2bf2f386} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ec4c4b46 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\difigivisi (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmef7f78da (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32
avavaze.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32
avavaze.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\bitonuta.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\bitonuta.dll  -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\bitonuta.dll -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\iegsbl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yijazowi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iwozajiy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\linanotu.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32
avavaze.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zilozama.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bitonuta.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zayezeru.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Tres belle infection.Vundo ko.Ont continuent .
Télécharge GENPROC (de narco4 et jean-chretien1) sur ton bureau. 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

Dézippe le dossier et double-clique sur GenProc.bat  . 
Poste le contenu du rapport qui s'ouvre. 

Tuto

http://www.bibou0007.com/outils-specifiques-f78/tutorial-genproc-t967.htm

mouton72 · Answer

je viens de faire un cp de vundofix "le lien que tu m'as donné un peu plus haut",et apparement il n'a trouvé aucun vundo sur le pc,c'est bon signe non?

2 3 1 OOOO!!!!!! · Answer

fai spybot

Utilisateur anonyme · Answer

Comme écrit précédemment vundo ko.Fait genproc.

mouton72 · Answer

voilà la rapport genproc
Rapport GenProc 2.491 [1] - 21/03/2009 à 16:52:03 - Windows XP 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

---------------------------------------------------------------------- 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

Utilisateur anonyme · Answer

Télécharge Dr.Web CureIt : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

mouton72 · Answer

je suis tjr là,le scan complet est tres long.

Utilisateur anonyme · Answer

oui il va scanner l'ensemble du  dd.

mouton72 · Answer

l'analyse complete est terminée mis je ne vois pas d'icone comme tu me l'a decrit! que dois je faire ensuite?

mouton72 · Answer

voilà le rapport drweb

fxsteller.exe;c:\windows;Trojan.MulDrop.30695;Supprimé.;
kfojowetoh.dll;c:\windows;Trojan.DownLoad.28462;Supprimé.;
kuzDeccode.exe;C:\WINDOWS\system32;Trojan.DownLoad.28462;Supprimé.;
KuzSmall.exe;C:\WINDOWS\system32;Trojan.DownLoad.28462;Supprimé.;
ff.exe;C:\DOCUME~1\LELION~1\LOCALS~1\Temp\IXP000.TMP;Trojan.MulDrop.30695;Supprimé.;

mouton72 · Answer

tu es tjr là nanard?

Utilisateur anonyme · Answer

Post un nouveau rapport hijackthis

mouton72 · Answer

je vais devoir te laisser pour ce soir,je ferais le rapport demain matin,des que tu pourras on reprendra.
mais jte remerci deja vraiment sincerement pour ton aide.je te dis a demain,bonne soirée.

mouton72 · Answer

bonjour nanard,tu es là ce matin?
je suis pret a finaliser la desinfection.je fais un rapport hijackthis et je te le met dans mon prochain post

Utilisateur anonyme · Answer

ok j'attends

mouton72 · Answer

voilà,c'est rapide,di moi si tu vois oujours une infection 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:44, on 22/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [difigivisi] Rundll32.exe "C:\WINDOWS\system32\linanotu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:  iegsbl.dll  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Utilisateur anonyme · Answer

Pour vérifier.
Télécharges FindyKill de Chiquitine29 

Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau . 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) . 

--> Entre dans le dossier " FindyKill " 

Double clic sur " FindyKill.bat " (et pas sur autre chose!) pour lancer l'outil . 

->choisis l'option 1 . Puis laisses travailler ... 

Une fois terminé, postes le rapport FindyKill.txt qui est généré ... 

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier

mouton72 · Answer

voilà le rapport


############################## [ FindyKill V4.720 ] 

# User : lelion quenault (Administrateurs) # LELION-QUENAULT
# Update on 22/03/09 by Chiquitine29
# Start at: 10:51:22 | 22/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Athlon(tm) XP 2000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1296 [VPS 090319-0] 4.8.1296 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 37,26 Go (28,79 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.720 ! ]

Utilisateur anonyme · Answer

Installe - 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Option:1 => Recherche: 

 Double cliquer sur SmitfraudFix.exe 

 Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

 un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

 C:\rapport.txt et colle le rapport génèrer sur le forum. 

 Ne pas faire l'option 2 sans un avis d'une personne compétente*<= 


Tutoriel Smitfraudix
http://www.malekal.com/tutorial_SmitFraudfix.php

mouton72 · Answer

ok je fais ça tout de suite

mouton72 · Answer

voilà le rapport smitfraudix

SmitFraudFix v2.405

Rapport fait à 11:11:45,70, 22/03/2009
Executé à partir de C:\Documents and Settings\lelion quenault\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lelion quenault


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LELION~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lelion quenault\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LELION~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" iegsbl.dll  "
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Bon tout est ok.Si ton ami ne peut pas se connecter a internet ce ne seras plus la faute a l'infection.

mouton72 · Answer

ok ça devrait aller je pense,je lui ramene ce soir et on verra.sinon tous les programmes que tu m'as donné je peux les supprimer sans problemes maintenant? en passant pas la panneau de configuration pour certains?

en tout cas je te remerci vraiment pour ton aide,c'est vraiment cool d'avoir des gens comme toi pres a aider,et surtout ne pas lacher l'affaire tant que c'est pas fini.
mon amie te dit egalement merci.
rpd moi pour la suppression des programmes

mouton72 · Answer

ah aussi les fichiers du vaccin sur ma clé usb je peux aussi les supprimer sans souci maintenant?

Utilisateur anonyme · Answer

Tu peut les garder.De cette façon ta clef reste protégée.

mouton72 · Answer

ok,je te remerci beaucoup,vraiment.

Utilisateur anonyme · Answer

De rien

Pc infecté par un spywre

60 réponses