warning dangerous spyware Résolu/Fermé

Question

Bonjour, depuis deux jours j'ai un trojan qui me mets en fonds d'écran warning en rouge clignotant et juste en dessous dangerous spyware avec ntdll64 qui a recontrer un probleme é doit fermer.

a cause de se virus je peux plus accéder a plusieurs de mes applications comme à ma base de registre ou a l'option des dossiers pour afficher les fichiers cachés car apparemment le virus se trouve dans le fichiers temporaire... 


qui peut m'aider je ne sais pas quoi faire!

Utilisateur anonyme · Answer

Hello,
fais ceci stp :

>Ouvre ce lien http://siri.urz.free.fr/Fix/SmitfraudFix.php et télécharge SmitfraudFix (de S!RI).
- Regarde le tuto
- Exécute le programme et choisi l’option 1 (et uniquement).
NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur".
- Le programme va générer un rapport, copie/colle le sur le forum. 


Puis,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau. 
- Double clique sur RSIT.exe 
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.


Merci.

ak210306 · Answer

utilise http://siri.urz.free.fr/Fix/SmitfraudFix.exe
et fais l'option 1 recherche
ensuite colle le rapport dans ta prochaine reponse

ak210306 · Answer

desolé DllD, j'avais pas vu que tu l'aidé, je te le laisse

union-hp · Answer

merci de m'aider je m'execute

union-hp · Answer

rapport smit:

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\?\globalroot\systemroot\system32undll32.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ahtn.htm PRESENT !
C:\WINDOWS\system32\frmwrk32.exe PRESENT !
C:\WINDOWS\system32\warning.gif PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean yves miry


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean yves miry\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEANYV~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




log : pour le log text je mets tout le contenu ???

ak210306 · Answer

oui

union-hp · Answer

dsl mon virus ma fait beuger mon pc  voici la suite log: Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\?\globalroot\C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\jean yves miry\Bureau\RSIT.exe
C:\Program Files	rend micro\jean yves miry.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Utilisateur anonyme · Answer

Bon,
ok,
Fais ceci stp :
> Démarre en mode sans échec sans passer par MSconfig : (image). Si problème : tuto ici
- Dans le dossier "SmitfraudFix" ouvre "Smitfraudfix.cmd" puis choisit l'option 2 et tape "oui" pour toutes les questions.
NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
- Enregistre le rapport puis envoie le dans ton prochain poste. 




Puis reposte le rapport RSIT stp car il est incomplet.


NB :
Pour chacun des rapports :
1°/ Ouvre le rapport (double clique sur le fichier texte).
2°/ Sur le rapport ouvert (le texte) : Clic droit dessus => choisis 'Sélectionner tout' (le texte s'affiche en surbrillance) => clic droit à nouveau sur le texte => choisis 'copier' 
3°/ Sur le forum (dans la zone où tu écris) : Clic droit => coller 
=> Le texte apparait..

A+

union-hp · Answer

log : Logfile of random's system information tool 1.06 (written by random/random)
Run by jean yves miry at 2009-04-28 14:54:37
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 10 GB (18%) free of 57 GB
Total RAM: 1022 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:56, on 28/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
\?\globalroot\C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\jean yves miry\Bureau\RSIT.exe
C:\Program Files	rend micro\jean yves miry.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\919553566.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\JEANYV~1\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2280229412.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autochk] rundll32.exe C:\DOCUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

union-hp · Answer

rapport apres msconfig : SmitFraudFix v2.412

Rapport fait à 16:08:32,53, 28/04/2009
Executé à partir de C:\Documents and Settings\jean yves miry\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ahtn.htm supprimé
C:\WINDOWS\system32\frmwrk32.exe supprimé
C:\WINDOWS\system32\warning.gif supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BFC3927-4113-4AFE-89BB-7493E3DCBD1D}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B2BA40A2-74F0-42BD-F434-12345A2C8953}"="jso8joigm409gopgmrlgd"

[HKEY_CLASSES_ROOT\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\InProcServer32]
@="C:\WINDOWS\system32\yhs783ijfo3fe.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

union-hp · Answer

merci de m'aider c sympa et désolé pour l'attente c parce que le pc infecté é inutilisable dc je doit faire plusieur manip pr te repondre é envoyé les rapports

Utilisateur anonyme · Answer

Ok,
pas de souci.
En effet il est bien pourri.

Fais ceci stp :
> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe puis accepte le contrat de licence.
- Si Combofix ne trouve pas de console de récupération système d'installée alors accepte son installation.
- A la fin de l'installation de la console de récupération Combofix va te proposer de lancer une recherche de nuisibles. Clique alors sur <Oui>.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport soit trop long pour être publié totalement. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).


Bon courage.

A+

floflo · Answer

que les cretins qui inventent des virus mettent leurs messages d'arvertissement a la con en français ya pas que de l'anglais dans la vie

union-hp · Answer

raport combofix :
 ComboFix 09-04-27.04 - jean yves miry 28/04/2009 17:05:48.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.720 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\jean yves miry\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
C:\Documents and Settings\jean yves miry\protect.dll
C:\Documents and Settings\LocalService\protect.dll
C:\WINDOWS\system32\__c00DC9E9.dat
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\Agent.OMZ.Fix.exe
C:\WINDOWS\system32\ak1.exe
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\config\systemprofile\protect.dll
C:\WINDOWS\system32\drivers\ovfsthjaiciunmrifwqynxtjhcfykcahkqlwqw.sys
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32
tdll64.exe
C:\WINDOWS\system32\o4Patch.exe
C:\WINDOWS\system32\ovfsthbrpmnnxpoxmeemdpatchcifalhbinxti.dat
C:\WINDOWS\system32\ovfsthfiiqsmwydpnmanvqwlgwfrfxbkhxxsqh.dll
C:\WINDOWS\system32\ovfsthojbniydicvmycoleasucjvgqxvacjwps.dll
C:\WINDOWS\system32\ovfsthoxpthxolmhfibwjocooxjytnihqhifvn.dat
C:\WINDOWS\system32\ovfsthvddlhqwexvweuakjvhogrwbjhovhfjtn.dll
C:\WINDOWS\system32\p2hhr.bat
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32	mp.reg
C:\WINDOWS\system32\uniq.tll
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\yhs783ijfo3fe.dll
C:\WINDOWS\Temp\155665458.exe
C:\WINDOWS\Temp\2280229412.exe
C:\WINDOWS\Temp\240509208.exe
C:\WINDOWS\Temp\3771225050.exe
C:\WINDOWS\Temp\4149662550.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthffrnomswyspiscumluvocgpnijgbornd


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-28 au 2009-4-28  ))))))))))))))))))))))))))))))))))))
.

2009-04-28 13:29:20 . 2009-04-28 13:29:20	39936	----a-w	C:\WINDOWS\system32\winglsetup.exe
2009-04-28 12:54:38 . 2009-04-28 12:54:56	0	d-----w	C:\Program Files	rend micro
2009-04-28 12:54:37 . 2009-04-28 12:55:00	0	d-----w	C:sit
2009-04-28 12:18:32 . 2009-04-28 12:18:32	664	----a-w	C:\WINDOWS\system32\d3d9caps.dat
2009-04-27 21:41:23 . 2009-04-27 21:41:24	29696	----a-w	C:\WINDOWS\system32\loader49.exe
2009-04-27 12:36:18 . 2009-04-27 12:36:19	24064	----a-w	C:\WINDOWS\system32\loader266.exe
2009-04-27 02:22:19 . 2009-04-27 02:23:42	16384	----a-w	C:\WINDOWS\system32\ftp_non_crp.exe
2009-04-24 16:36:59 . 2009-04-24 16:36:59	0	d-----w	C:\Documents and Settings\Invité\Application Data\Nokia
2009-04-24 16:36:31 . 2009-04-24 16:36:31	0	d-----w	C:\Documents and Settings\Invité\Application Data\PC Suite
2009-04-23 22:32:25 . 2007-09-17 13:53:26	21632	----a-w	C:\WINDOWS\system32\drivers\pccsmcfd.sys
2009-04-23 22:32:02 . 2009-04-23 22:32:06	0	d-----w	C:\Program Files\PC Connectivity Solution
2009-04-23 22:29:06 . 2008-05-07 05:38:36	8064	----a-w	C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2009-04-23 22:29:04 . 2008-06-06 07:24:44	8064	----a-w	C:\WINDOWS\system32\drivers\usbser_lowerflt.sys
2009-04-23 22:29:03 . 2008-05-07 05:38:20	20864	----a-w	C:\WINDOWS\system32\drivers\ccdcmbo.sys
2009-04-23 22:29:01 . 2008-05-07 05:38:20	17536	----a-w	C:\WINDOWS\system32\drivers\ccdcmb.sys
2009-04-23 22:29:01 . 2008-05-07 05:38:34	659968	----a-w	C:\WINDOWS\system32
mwcdcocls.dll
2009-04-23 22:29:01 . 2008-05-07 05:39:22	1419232	----a-w	C:\WINDOWS\system32\wdfcoinstaller01005.dll
2009-04-23 22:26:22 . 2009-04-23 22:44:31	0	d-----w	C:\Documents and Settings\All Users\Application Data\Installations
2009-04-23 18:39:14 . 2009-04-23 18:39:14	0	d-----w	C:\Documents and Settings\jean yves miry\Application Data\Nokia Multimedia Player
2009-04-22 02:08:34 . 2009-04-22 02:08:34	0	d-----w	C:\Documents and Settings\jean yves miry\Application Data\NSeries
2009-04-22 01:34:26 . 2009-04-22 01:34:26	0	d-----w	C:\Documents and Settings\All Users\Application Data\Nokia
2009-04-22 01:34:14 . 2009-04-23 22:33:30	0	d-----w	C:\Program Files\Fichiers communs\Nokia
2009-04-22 01:26:38 . 2009-04-22 01:44:22	0	d-----w	C:\Documents and Settings\All Users\Application Data\PC Suite
2009-04-22 01:26:22 . 2009-04-23 22:42:10	0	d-----w	C:\Documents and Settings\jean yves miry\Application Data\Nokia
2009-04-22 01:23:55 . 2009-04-23 22:33:32	0	d-----w	C:\Program Files\Fichiers communs\PCSuite
2009-04-22 01:22:29 . 2009-04-23 22:32:27	0	d-----w	C:\Program Files\DIFX
2009-04-22 01:22:24 . 2009-04-23 22:42:08	0	d-----w	C:\Documents and Settings\jean yves miry\Application Data\PC Suite
2009-04-22 01:21:13 . 2009-04-25 01:31:36	0	d-----w	C:\Program Files\Nokia
2009-04-15 06:05:38 . 2008-04-21 21:15:17	219136	-c----w	C:\WINDOWS\system32\dllcache\wordpad.exe
2009-04-15 06:03:35 . 2009-02-06 10:10:02	227840	-c----w	C:\WINDOWS\system32\dllcache\wmiprvse.exe
2009-04-15 06:03:30 . 2009-03-06 14:20:52	286720	-c----w	C:\WINDOWS\system32\dllcache\pdh.dll
2009-04-15 06:03:30 . 2009-02-09 11:23:48	111104	-c----w	C:\WINDOWS\system32\dllcache\services.exe
2009-04-15 06:03:29 . 2009-02-09 10:53:55	401408	-c----w	C:\WINDOWS\system32\dllcachepcss.dll
2009-04-15 06:03:27 . 2009-02-09 10:53:55	473600	-c----w	C:\WINDOWS\system32\dllcache\fastprox.dll
2009-04-15 06:03:27 . 2009-02-06 10:39:08	35328	-c----w	C:\WINDOWS\system32\dllcache\sc.exe
2009-04-15 06:03:26 . 2009-02-09 10:53:55	685568	-c----w	C:\WINDOWS\system32\dllcache\advapi32.dll
2009-04-15 06:03:25 . 2009-02-09 10:53:56	735744	-c----w	C:\WINDOWS\system32\dllcache\lsasrv.dll
2009-04-15 06:03:25 . 2009-02-09 10:53:55	453120	-c----w	C:\WINDOWS\system32\dllcache\wmiprvsd.dll
2009-04-15 06:03:24 . 2009-02-09 10:53:55	739840	-c----w	C:\WINDOWS\system32\dllcache
tdll.dll
2009-04-15 06:00:50 . 2008-12-16 12:31:46	354304	-c----w	C:\WINDOWS\system32\dllcache\winhttp.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 13:16:29 . 2005-09-16 06:23:31	505148	----a-w	C:\WINDOWS\system32\perfh00C.dat
2009-04-28 13:16:28 . 2005-09-16 06:23:31	83484	----a-w	C:\WINDOWS\system32\perfc00C.dat
2009-04-23 18:40:04 . 2005-09-16 08:47:43	0	d-----w	C:\Program Files\Fichiers communs\Adobe
2009-04-22 01:55:42 . 2008-08-19 19:16:16	23640	----a-w	C:\Documents and Settings\jean yves miry\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-20 21:19:51 . 2008-09-01 20:13:22	0	d-----w	C:\Program Files\Messenger Plus! Live
2009-04-09 16:57:21 . 2005-09-16 06:49:11	0	d-----w	C:\Program Files\Java
2009-03-26 00:57:30 . 2008-08-31 23:15:47	0	d-----w	C:\Program Files\VideoLAN
2009-03-14 23:13:31 . 2009-02-14 14:49:24	22560	----a-w	C:\Documents and Settings\Invité\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-12 11:32:12 . 2009-03-10 20:37:36	0	d-----w	C:\Program Files\NOS
2009-03-09 03:19:08 . 2008-10-25 21:44:03	410984	----a-w	C:\WINDOWS\system32\deploytk.dll
2009-03-07 23:52:00 . 2009-02-03 22:14:49	0	d-----w	C:\Program Files\Microsoft Silverlight
2009-03-06 14:20:52 . 2005-09-16 06:23:14	286720	----a-w	C:\WINDOWS\system32\pdh.dll
2009-03-03 00:13:06 . 2005-09-16 06:23:24	826368	----a-w	C:\WINDOWS\system32\wininet.dll
2009-02-20 17:10:57 . 2005-09-16 06:23:06	78336	----a-w	C:\WINDOWS\system32\ieencode.dll
2009-02-10 17:06:30 . 2004-08-04 00:48:58	2068096	----a-w	C:\WINDOWS\system32
tkrnlpa.exe
2009-02-09 14:05:54 . 2005-09-16 06:23:23	1846912	----a-w	C:\WINDOWS\system32\win32k.sys
2009-02-09 11:24:03 . 2005-09-16 06:23:11	2191104	----a-w	C:\WINDOWS\system32
toskrnl.exe
2009-02-09 11:23:48 . 2005-09-16 06:23:17	111104	----a-w	C:\WINDOWS\system32\services.exe
2009-02-09 10:53:56 . 2005-09-16 06:23:07	735744	----a-w	C:\WINDOWS\system32\lsasrv.dll
2009-02-09 10:53:55 . 2005-09-16 06:23:16	401408	----a-w	C:\WINDOWS\system32pcss.dll
2009-02-09 10:53:55 . 2005-09-16 06:23:10	739840	----a-w	C:\WINDOWS\system32
tdll.dll
2009-02-09 10:53:55 . 2005-09-16 06:22:56	685568	----a-w	C:\WINDOWS\system32\advapi32.dll
2009-02-06 17:52:40 . 2009-02-06 17:52:40	49504	----a-w	C:\WINDOWS\system32\sirenacm.dll
2009-02-06 10:39:08 . 2005-09-16 06:23:17	35328	----a-w	C:\WINDOWS\system32\sc.exe
2009-02-03 19:58:06 . 2005-09-16 06:23:17	56832	----a-w	C:\WINDOWS\system32\secur32.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 17:34:00 15360]
"Google Update"="C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-12-22 15:19:19 133104]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 17:51:28 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2004-03-24 05:40:42 196608]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 19:05:00 344064]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-11-04 09:30:50 413696]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 12:28:40 266497]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-03-09 03:19:17 148888]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 18:33:00 57344]
"TCtryIOHook"="TCtrlIOHook.exe" - C:\WINDOWS\system32\TCtrlIOHook.exe [2005-08-22 14:49:28 28672]
"TPSMain"="TPSMain.exe" - C:\WINDOWS\system32\TPSMain.exe [2005-08-12 09:14:30 266240]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 17:34:00 15360]

C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-4-28 24064]

C:\Documents and Settings\Invit‚\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.dll [2009-4-28 24064]

C:\Documents and Settings\jean yves miry\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]
Yahoo! Widgets.lnk - C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe [2008-3-19 4742184]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^jean yves miry^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"maconfservice"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"AGWinService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"C:\Program Files\uTorrent\uTorrent.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=
"C:\Program Files\Bonjour\mDNSResponder.exe"=
"C:\Program Files\iTunes\iTunes.exe"=
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R4 AGWinService;AG Windows Service;C:\Program Files\AGI\common\win32\PythonService.exe [2008-10-29 22:01:54 10240]
R4 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-09-02 14:14:04 191656]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{941c358c-d1c3-11dd-aa99-00166f0a3e4f}]
\Shell\AutoRun\command - G:\2u.com
\Shell\explore\Command - G:\2u.com
\Shell\open\Command - G:\2u.com
.
Contenu du dossier 'Tâches planifiées'

2009-04-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34:12 . 2008-07-30 11:34:12]

2009-04-28 C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-980568788-2855852908-2351634715-1006.job
- C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-12-22 15:19:23 . 2008-12-22 15:19:19]

2008-06-15 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2005-09-16 06:35:37 . 2008-04-13 17:34:18]

2008-06-15 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2005-09-16 06:35:37 . 2008-04-13 17:34:18]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
HKLM-Run-autochk - C:\WINDOWS\system32\autochk.dll
HKU-Default-Run-Windows Resurections - C:\WINDOWS\TEMP\dxkxg.exe
HKU-Default-Run-Diagnostic Manager - C:\WINDOWS\TEMP\2280229412.exe
HKU-Default-Run-autochk - C:\DOCUME~1\LOCALS~1\protect.dll
HKU-Default-Run-A00FE77CB.exe - C:\WINDOWS\TEMP\_A00FE77CB.exe
SharedTaskScheduler-{B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
Notify-__c00DC9E9 - C:\WINDOWS\system32\__c00DC9E9.dat


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - C:\Documents and Settings\jean yves miry\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: C:\Documents and Settings\jean yves miry\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
FF - plugin: C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Google\Update\1.2.141.5
pGoogleOneClick7.dll
FF - plugin: C:\Program Files\ma-config.com
phardwaredetection.dll
FF - plugin: C:\Program Files\Mozilla Firefox\plugins
pyaxmpb.dll
FF - plugin: C:\Program Files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: C:\Program Files\Veoh Networks\VeohWebPlayer
pWebPlayerVideoPluginATL.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

Utilisateur anonyme · Answer

Très bien,
sauf que le rapport n'est pas complet : il manque la fin.

Tu peux le reposter stp ?

Utilisateur anonyme · Answer

Humm. Ok, merci. C'est le même rapport en fait :] Bon, il nous faut continuer : > Télécharge ATF Cleaner par Atribune sur ton bureau. - Démarre ATF-Cleaner et coche la dernière case nommé 'select all'. - Clique sur et au message "Done Cleaning" sur NB : Si tu utilises Firefox ou Opera : - Clique sur Firefox ou Opera en haut puis choisis

Utilisateur anonyme · Answer

Tu es encore infecté.
Des rootkits...
Enfin là le rapport est complet ;)


On continue :
Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

KILLALL::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"autochk"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"Windows Resurections"=-
"Diagnostic Manager"=-
"autochk"=- 
"A00FE77CB.exe"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] 
"NoSetActiveDesktop"= 0  
"NoActiveDesktopChanges"= 0   
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\__c00DC9E9]     
File::
c:\windows\system32\autochk.dll
c:\windows\TEMP\dxkxg.exe
c:\windows\TEMP\2280229412.exe
c:\docume~1\LOCALS~1\protect.dll
c:\windows\TEMP\_A00FE77CB.exe
C:\Documents and Settings\jean yves miry\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
c:\windows\system32\__c00DC9E9.dat
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).




Vérifie à quoi correspondent ces ports là sur ton parefeu stp :
1723:TCP
1701:UDP
500:UDP

(dis moi à quel programme ou processus).



Le PC devrait aller mieux, non ?

Utilisateur anonyme · Answer

Ok,
très bien.
Et pour le PC ? comment il va ? (tu ne m'as pas répondu. Sois plus causant stp)

Je regarde ton rapport après avoir mangé.

En attendant :
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver.
Il faudra que tu les utilises de temps en temps pour limiter ce genre de problèmes.

> Télécharge MalwareByte's Anti-Malware : 
- Installe le programme puis lance le.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici 
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour").
- Clique sur "Executer un examen rapide" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur <Oui> alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.
NB : Si tu as besoin : Tuto


Après,
>Télécharge et installe Ccleaner (logiciel à conserver et à utiliser régulièrement) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là.
(N'installe pas la Yahoo Toolbar)
> Démarre en mode sans échec : (image). Si problème : tuto ici
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).


+

Utilisateur anonyme · Answer

Salut union-hp, Tu vas bien ? Oui, on a viré une bonne couche mais il en reste encore un peu. Tout n'est pas encore bien clair dans le Combo. Avant de faire le MBAM et le Ccleaner d'ici : http://www.commentcamarche.net/forum/affich 12214287 warning dangerous spyware?#30 Peux-tu faire ceci : > Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le fichier suivant : (Clique sur puis copie/colle la ligne dans le cadre "Nom du Fichier", ensuite valide par . Clique alors sur ) c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll et poste le résultat par copier/coller (ou le lien http, c'est plus rapide et préférable). - Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse. Puis poste les deux rapports stp : Virus total et Malware byte's Il reste une ou deux étapes normalement. ;) Bon courage.

Utilisateur anonyme · Answer

Hello union-hp, Ok, c'est parfait tout ça. Pour le fichier que tu n'as pas trouvé pour l'analyse virus total c'est normal il a été effacé par MBAM. Les autres véroles étaient déjà neutralisées par Combo (dans sa quarantaine). Bon, avant de t'envoyer la fin, poste moi un nouveau RSIT stp. Puis, après l'avoir posté, > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr N.B. : Le scan ne marche que sous Internet Explorer. Sous Vista : Execute Internet Explorer en tant qu'administrateur, pour cela fais un clic droit sur le raccourci d'Internet Explorer et choisis "Exécuter en tant qu'administrateur". - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré (voir cette image) (clique sur puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension). S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle Kaspersky On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers"). Bon courage. Puis je t'envoie la fin. Bonne soirée.

union-hp · Answer

bonsoir dlld coment vas tu? dsl d'etre a moitié présent g mon frere ki prépare c fiancialle et avec le travail c galere

voila le rist http://www.cijoint.fr/cjlink.php?file=cj200904/cij55Y6YyI.txt

et voila le kasperky scan http://www.cijoint.fr/cjlink.php?file=cj200905/cijJ4f5fAj.txt

j'attends la suite...

Utilisateur anonyme · Answer

Salut union-hp,
Ca va pas terrible pour moi, hier j'ai bousillé une voiture sur un parking de supermarché : une borne que je n'ai pas vu. Je suis rentré de plein fouet dedans et du coup la voiture va surement finir à la case :\
T'en mieux pour ton frère et puis pour le travail bah, c'est la santé.

Bon, aller : avant dernière étape (les dernières suppressions) puis je t'envoie la fin.

> Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste Instructions for items to be moved > ( Image ).

:processes
explorer.exe
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Diagnostic Manager]     
:files
C:\AVSCAN-20090429-000134-56A72429.txt     
C:\mbam-log-2009-04-28 (23-52-54).txt     
C:\mbam-log-2009-04-28 (22-21-00).txt     
C:\Documents and Settings\jean yves miry\Mes documents\Downloads\Windows XP Ultimate Edition (by Johnny) [September2008-R3.9.3]\Windows XP Ultimate Edition (by Johnny) [September2008-R3.9.3].iso
C:\info.txt     
C:\log.txt 
C:\WINDOWS\system32\tmp.txt 
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.

Peux-tu me dire ce qu'est ce fichier : C:\CCProxy\CCProxy.exe ?
Peux-tu supprimer le dossier C:\CCProxy ?
Si oui fais le stp.

Puis je t'envoie la fin.
Bon courage.

union-hp · Answer

slt dlld sava, moi bof ya mon frere ki va se fiancé é moi ki redemmare a zéro c la vie... é toi alors ton istoir d'accident sa di koi? ta voiture est rsv? si c le cas c la merde en plus des malus, on diré ke rien ne va en ce moment mé bn fo relativisé sinon voila le rapport et le ccproxy c un programe ki permet de cacher son adresse ip pour éviter detre pirater, je lé installer mé jamé utiliser g supprimé le dossier com tu ma dit é  désinstaller. 

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Diagnostic Manager\ deleted successfully.
========== FILES ==========
C:\AVSCAN-20090429-000134-56A72429.txt moved successfully.
C:\mbam-log-2009-04-28 (23-52-54).txt moved successfully.
C:\mbam-log-2009-04-28 (22-21-00).txt moved successfully.
C:\Documents and Settings\jean yves miry\Mes documents\Downloads\Windows XP Ultimate Edition (by Johnny) [September2008-R3.9.3]\Windows XP Ultimate Edition (by Johnny) [September2008-R3.9.3].iso moved successfully.
C:\info.txt moved successfully.
C:\log.txt moved successfully.
C:\WINDOWS\system32	mp.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\hsperfdata_jean yves miry\2324 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\etilqs_RW7JiIX36pAIj6gOX3x3 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\flaB8.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\flaBA.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\NGLALog.txt scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\~B3.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_69c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05032009_200546

Files moved on Reboot...
File C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\hsperfdata_jean yves miry\2324 not found!
File C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\etilqs_RW7JiIX36pAIj6gOX3x3 not found!
File C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\flaB8.tmp not found!
File C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\flaBA.tmp not found!
C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\NGLALog.txt moved successfully.
C:\DOCUME~1\JEANYV~1\LOCALS~1\Temp\~B3.tmp moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_69c.dat not found!
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\jean yves miry\Local Settings\Application Data\Mozilla\Firefox\Profiles\w62of9pg.default\XUL.mfl moved successfully.

Utilisateur anonyme · Answer

Salut union-hp,

Peux-tu éviter d'écrire en sms stp car j'ai beaucoup de mal à te lire et c'est hors charte en plus.
Oui, c'est pas terrible les chose en ce moment. Mais bon la voiture est assurée tous risques, c'est déjà une chance...

Très bien pour ton PC.
Voici la fin :

> Rends toi sur ce site avec Internet Explorer (pas avec un autre navigateur) : http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
- Effectue toutes les mises à jour proposées.
- relance ton PC.
- Effectue plusieurs fois la même opération (avec reboot du PC) jusqu'à ce que plus aucune mise à jour ne te soit proposée.
NB : Eventuellement MS Update peut te proposer des mises à jour facultatives. Je te conseille de les faire.

> Télécharge et installe Update Checker : http://www.filehippo.com/updatechecker/FHSetup.exe
- Lance le programme. Une page web de ce type va s'ouvrir.
- Fais les mises à jour de tous les logiciels proposés pour Update. Je te déconseille de faire celles pour les versions béta (elles peuvent être instables).
- Fais un copier/coller de la liste de éléments "Updates" ou de l'adresse http (préférable). Puis poste la sur le forum.
- Une fois les mises à jour effectuées, relance ton PC.
/!\ Attention /!\ : Pour la console Java et Acrobat il faut désinstaller les versions précédentes (ajout/supp. de programmes) avant de faire les mises à jour.
Tuto si problèmes : http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour
NB : après cette opération de Update Checker, je te conseille de relancer Microsoft Update et de vérifier qu'il n'existe pas de nouvelles mises à jour disponibles.

> Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives).
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)).
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).

> Télécharge et installe Easy Cleaner : https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
(lien miroir : https://www.clubic.com/telecharger-fiche11170-easycleaner.html )
- Lance le programme puis clique sur <Registre> puis sur <Trouver>.
- A la fin du scan clique sur <Supprime tout> puis confirme par <Oui> puis quitte le programme.
Si besoin tuto ici : https://www.pcparadise.fr
et http://www.6ma.fr/tuto/easycleaner-nettoyer-windows-des-elements-obsoletes/
NB : Je te conseille de n'utiliser que cette fonction de nettoyeur de registre avec ce programme ; c'est la seule qui à mon sens vaut le coup.

> Tu peux aussi vider ta corbeille.

> Si nous avons utilisé MalwaresByte's Anti-Malware : vide sa quarantaine.
- Lance le programme puis clique sur <Quarantaine>.
- Sélectionne tous les éléments puis clique sur <supprime>.
- Quitte le programme.

> Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait...

> Désactive et réactive la restauration système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
PS : Si tu es sous Vista c'est ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/c066b2e9a50cc948802572870032b170?OpenDocument

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Quelques conseils et recommandations pour l'avenir :

> Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" de Ccleaner : clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures").
- Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
- Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))

> Pour bien protéger ton PC :
[1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI]
PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
Les virus utilisent les failles de ton PC pour infecter un système. Info : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

> Quelques liens utiles :
- http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
- https://sebsauvage.net/safehex.html
- https://www.zebulon.fr/telechargements/securite/protection-donnees-personnelles/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan)

Voila,
Bonne lecture....

A+

PS : N'oublies pas les deux rapports stp : Update Checker (le lien de préférence) et Toolscleaner (le rapport).

Warning dangerous spyware

24 réponses

Discussions similaires