Sujet Précédent Sujet Suivant

Au secours!!! Virus WORM et TR sur mon pc...

@lexandr@ Messages postés 66 Statut Membre -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Slt tous le monde....J'ai besoin d'aide:::Bas voila j'ai installer hier un anti virus AVIRA sur mon pc et il a detecter 2 virus sur mon pc mais que j'arrive pas a m'en debarrasser...je le met en qurantaine mais ils apparraissent toujours!!!! Je c plus koi faire aidez moi please!!! :-(
A voir également:

13 réponses

Réponse 1 / 13
Utilisateur anonyme
 
Bonjour
Fais un scan HijackThis : : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Avant de lancer HijackThis, renomme-le !
Pour cela, suis le chemin ci-dessous, jusqu' au fichier en gras :

C:\Program files\Trend Micro\HijackThis\HijackThis.exe

Clique droit dessus et choisis "renommer" : tape moulin.exe et valide.
Puis, clique droit sur "moulin.exe" et choisis Envoyer vers -> Bureau (créer un raccourci).
Reviens sur le bureau et clique sur le nouvel icône pour le lancer.
*. Accepte la license en cliquant sur le bouton "I Accept"
*. Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*. Colle le rapport que tu viens de copier sur ce forum
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux
0
@lexandr@ Messages postés 66 Statut Membre
 
Slt nanard et merci de m'aider...mais dit moi une chose avant! Avant de faire ce ke tu ma dit il fo ke j'eteingne mon anti virus????
0
Utilisateur anonyme > @lexandr@ Messages postés 66 Statut Membre
 
Non .Laisse ton antivirus activé.Si pendant une procédure l'antivirus doit être désactivé je te le dirai.a+
0
@lexandr@ Messages postés 66 Statut Membre
 
Hello nanard, vaut mieux desactiver mon antivirus?? Merci
0
Utilisateur anonyme > @lexandr@ Messages postés 66 Statut Membre
 
Redémarre en mode sans échec
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec avec prise en charge réseau puis appuyer sur la touche Entrée...)

Tu télécharge hijackthis et tu redémarres en mode normal.Post ton rapport.
0
Réponse 2 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, je retire mon intervention nanard4700 a déjà pris le sujet @+
0
Réponse 3 / 13
kvayel
 
salut, si tu à utiliser un patch ou un crack c'est peut être sa la cause de ton malheur, ou bien si c'est pas sa fait une restauration du système après installe sa http://www.safer-networking.org/fr/ownmirrors1/index.html c'est spybot ( si tu a internet explorer ne fait pas l'immunité ).
0
Utilisateur anonyme
 
Pour kvayel
La restauration du système s'effectue a la fin de la désinfection et pas au départ de l'infection.
0
Réponse 4 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
@lexandr@, bonjour pour faire un hijackthis pas besion de déactiver l'anti-virus @+
0
@lexandr@ Messages postés 66 Statut Membre
 
Slt jaques..mais le probleme c ke j'arrive pas a ouvrir une page du net sans ke la fenetre d'Avira s'ouvre en disant k'il a trouver un virus! Vaut mieux le desactiver non? :-)
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618 > @lexandr@ Messages postés 66 Statut Membre
 
la demande à nanard4700 se qu'il en pense mais perso je ferais un démarrage en mode sans echec avec prise en charge du réseau, et je ferais le rapport dans ce mode
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
@lexandr@ Messages postés 66 Statut Membre
 
Voici le rapport de moulin.exe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:40, on 10-05-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programas\Avira\AntiVir Desktop\sched.exe
C:\Programas\Avira\AntiVir Desktop\avguard.exe
C:\Programas\SweetIM\Messenger\SweetIM.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\Software WIDCOMM\Bluetooth\BTTray.exe
C:\Programas\OpenOffice.org 3\program\soffice.exe
C:\Programas\OpenOffice.org 3\program\soffice.bin
C:\Documents and Settings\Administrador\Definições locais\Application Data\winlogon.exe
C:\Programas\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\SOFTWA~1\BLUETO~1\BTSTAC~1.EXE
C:\Documents and Settings\Administrador\Definições locais\Application Data\services.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\lsass.exe
C:\Programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ping.exe
C:\Programas\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programas\Trend Micro\HijackThis\Moulin.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.pt/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60341
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60341
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60341
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programas\AskSearch\bin\DefaultSearch.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O1 - Hosts: 127.4.7.4 mcafee.com
O1 - Hosts: 127.4.7.4 www.mcafee.com
O1 - Hosts: 127.4.7.4 mcafeesecurity.com
O1 - Hosts: 127.4.7.4 www.mcafeesecurity.com
O1 - Hosts: 127.4.7.4 mcafeeb2b.com
O1 - Hosts: 127.4.7.4 www.mcafeeb2b.com
O1 - Hosts: 127.4.7.4 nai.com
O1 - Hosts: 127.4.7.4 www.nai.com
O1 - Hosts: 127.4.7.4 vil.nai.com
O1 - Hosts: 127.4.7.4 grisoft.com
O1 - Hosts: 127.4.7.4 www.grisoft.com
O1 - Hosts: 127.4.7.4 kaspersky-labs.com
O1 - Hosts: 127.4.7.4 www.kaspersky-labs.com
O1 - Hosts: 127.4.7.4 kaspersky.com
O1 - Hosts: 127.4.7.4 www.kaspersky.com
O1 - Hosts: 127.4.7.4 downloads1.kaspersky-labs.com
O1 - Hosts: 127.4.7.4 downloads2.kaspersky-labs.com
O1 - Hosts: 127.4.7.4 downloads3.kaspersky-labs.com
O1 - Hosts: 127.4.7.4 downloads4.kaspersky-labs.com
O1 - Hosts: 127.4.7.4 download.mcafee.com
O1 - Hosts: 127.4.7.4 grisoft.cz
O1 - Hosts: 127.4.7.4 www.grisoft.cz
O1 - Hosts: 127.4.7.4 norton.com
O1 - Hosts: 127.4.7.4 www.norton.com
O1 - Hosts: 127.4.7.4 symantec.com
O1 - Hosts: 127.4.7.4 www.symantec.com
O1 - Hosts: 127.4.7.4 liveupdate.symantecliveupdate.com
O1 - Hosts: 127.4.7.4 liveupdate.symantec.com
O1 - Hosts: 127.4.7.4 update.symantec.com
O1 - Hosts: 127.4.7.4 securityresponse.symantec.com
O1 - Hosts: 127.4.7.4 sarc.com
O1 - Hosts: 127.4.7.4 www.sarc.com
O1 - Hosts: 127.4.7.4 norman.com
O1 - Hosts: 127.4.7.4 www.norman.com
O1 - Hosts: 127.4.7.4 trendmicro.com
O1 - Hosts: 127.4.7.4 www.trendmicro.com
O1 - Hosts: 127.4.7.4 trendmicro.co.jp
O1 - Hosts: 127.4.7.4 www.trendmicro.co.jp
O1 - Hosts: 127.4.7.4 trendmicro-europe.com
O1 - Hosts: 127.4.7.4 www.trendmicro-europe.com
O1 - Hosts: 127.4.7.4 ae.trendmicro-europe.com
O1 - Hosts: 127.4.7.4 it.trendmicro-europe.com
O1 - Hosts: 127.4.7.4 secunia.com
O1 - Hosts: 127.4.7.4 www.secunia.com
O1 - Hosts: 127.4.7.4 winantivirus.com
O1 - Hosts: 127.4.7.4 www.winantivirus.com
O1 - Hosts: 127.4.7.4 pandasoftware.com
O1 - Hosts: 127.4.7.4 www.pandasoftware.com
O1 - Hosts: 127.4.7.4 esafe.com
O1 - Hosts: 127.4.7.4 www.esafe.com
O1 - Hosts: 127.4.7.4 f-secure.com
O1 - Hosts: 127.4.7.4 www.f-secure.com
O1 - Hosts: 127.4.7.4 europe.f-secure.com
O1 - Hosts: 127.4.7.4 bhs.com
O1 - Hosts: 127.4.7.4 www.bhs.com
O1 - Hosts: 127.4.7.4 datafellows.com
O1 - Hosts: 127.4.7.4 www.datafellows.com
O1 - Hosts: 127.4.7.4 cheyenne.com
O1 - Hosts: 127.4.7.4 www.cheyenne.com
O1 - Hosts: 127.4.7.4 ontrack.com
O1 - Hosts: 127.4.7.4 www.ontrack.com
O1 - Hosts: 127.4.7.4 sands.com
O1 - Hosts: 127.4.7.4 www.sands.com
O1 - Hosts: 127.4.7.4 sophos.com
O1 - Hosts: 127.4.7.4 www.sophos.com
O1 - Hosts: 127.4.7.4 icubed.com
O1 - Hosts: 127.4.7.4 www.icubed.com
O1 - Hosts: 127.4.7.4 perantivirus.com
O1 - Hosts: 127.4.7.4 www.perantivirus.com
O1 - Hosts: 127.4.7.4 virusalert.nl
O1 - Hosts: 127.4.7.4 www.virusalert.nl
O1 - Hosts: 127.4.7.4 pagina.nl
O1 - Hosts: 127.4.7.4 www.pagina.nl
O1 - Hosts: 127.4.7.4 antivirus.pagina.nl
O1 - Hosts: 127.4.7.4 castlecops.com
O1 - Hosts: 127.4.7.4 www.castlecops.com
O1 - Hosts: 127.4.7.4 virustotal.com
O1 - Hosts: 127.4.7.4 www.virustotal.com
O1 - Hosts: 127.4.7.4 vaksin.com
O1 - Hosts: 127.4.7.4 www.vaksin.com
O1 - Hosts: 127.4.7.4 forum.vaksin.com
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programas\AVG\AVG8\avgtoolbar.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programas\AVG\AVG8\avgtoolbar.dll (file missing)
O4 - HKLM\..\Run: [SweetIM] C:\Programas\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programas\Ficheiros comuns\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrador\Definições locais\Application Data\smss.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Empty.pif
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programas\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {BB7E62CD-6811-470D-9265-9E7902F50605} (MoondoCtrl Class) - http://ecdownload.moondo.com/17/patcher/moondoax.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programas\AVG\AVG8\avgpp.dll (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Programas\ma-config.com\maconfservice.exe
0
Réponse 6 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok si nanard4700 ni voit pas d'inconviant tu vas faire smitfraudfix car tu as pas mal de 01 sur ton rapport et c'est pas bon du tout donc smitfraudfix option 1 tu poste le rapport si tu peux car pas sur vu la longueur qui risque d'avoir et puis tu passes l'option 2 en mode sans echec , brefs tu fais comme expliqué , Merci

1) Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php

le mieux serait que tu désactives tes protections résidente "anti-virus et anti-spyware"
le temps d'installer smitfraudfix et de faire l'analyse.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

et télécharge SmitfraudFix.exe.

Regarde le tuto

Double-clique sur SmitfraudFix.exe (Sous Vista, il faut cliquer droit sur SmitfraudFix et choisir Exécuter en tant qu'administrateur).

Exécute le en choisissant l’option 1

il va générer un rapport

Copie/colle le sur le poste stp.

une petites démo en vidéo :http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

2) tu vas faire le Nettoyage des fichiers infectieux en mode sans echec et poster le rapport ainsi qu'un Hijackthis

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

Ensuite relancez SmitfraudFix, et dans le menu, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

A la question : voulez-vous nettoyer le registre ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

A la question : corriger le fichier infecté ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

Soyez ensuite patients, SmitfraudFix va supprimer les fichiers infectieux détectés dans la recherche effectuée précédemment.

Un redemarrage sera peut être necessaire pour terminer la procédure de nettoyage (SmitfraudFix vous le dira si besoin).

Le rapport se trouve à la racine du disque système C:\rapport.txt

poste le rapport dans ton prochain message. Si ton fond d'écran est disparru il suffira d'en remettre un

petite démo en vidéo : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
0
@lexandr@ Messages postés 66 Statut Membre
 
re slt jacques
le prob ce ke kan je desactive mon anti virus et ke je lance SmitFraudFix v2.416 mon pc setaint a chake....je suis entrain de stresser grave la.... :-(
0
Réponse 7 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bon laisse tombé smitfraufix dans l'immédiat tu vas passer un outil pour réparrer le fichier hosts tu le passes tu redémarrer le pc et puis tu mets un nouveau hijackthis pour contrôler , merci

R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
0
Réponse 8 / 13
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Bonjours

Pour suivre
0
Réponse 9 / 13
@lexandr@ Messages postés 66 Statut Membre
 
Sayait jai fai ce ke tu ma dit...et maintenant je fait koi?
0
Réponse 10 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
dans le message 15 je te demandai de passer R-Hosts de redémarrer le pc et de poster un nouveau hijackthis , Merci
0
@lexandr@ Messages postés 66 Statut Membre
 
oui c'e ce ke jai fait mais toujours pareil...le pc s'eteint
je crois ke ce serai mieux de le formater...il delire tro
mais je c pas faire un Backup???
0
Réponse 11 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
as tu fais R-hosts ?
0
@lexandr@ Messages postés 66 Statut Membre
 
oui
je vien de le faire et toujours pareil je c plus koi faire
:-(
Kan je redemarre mon pc il a une fenetre ki s'ouvre et disant:
"L'application DLL a trouver une erreur au demarrage et va se fermer"
je fait koi...aide moi jacques stp...
0
@lexandr@ Messages postés 66 Statut Membre
 
Voici le premiers rapport de SmitFraudFix:

SmitFraudFix v2.416

Scan done at 14:40:53,92, 10-05-2009
Run from C:\Documents and Settings\Administrador\Os meus documentos\Programas\SmitfraudFix
OS: Microsoft Windows XP [VersÆo 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programas\Avira\AntiVir Desktop\sched.exe
C:\Programas\SweetIM\Messenger\SweetIM.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\Software WIDCOMM\Bluetooth\BTTray.exe
C:\Programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
C:\Programas\OpenOffice.org 3\program\soffice.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programas\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32\svchost.exe
C:\Programas\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\SOFTWA~1\BLUETO~1\BTSTAC~1.EXE
C:\Documents and Settings\Administrador\Definições locais\Application Data\services.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\services.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\lsass.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\lsass.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\services.exe
C:\Documents and Settings\Administrador\Definições locais\Application Data\lsass.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrador\Os meus documentos\Programas\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.4.7.4 castlecops.com
127.4.7.4 www.castlecops.com
127.4.7.4 pandasoftware.com
127.4.7.4 www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrador


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\DEFINI~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrador\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programas


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="A minha home page actual"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VM Network Connection - Miniport do agendador de pacotes
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{22FAC322-78F4-45C0-99A3-D3E6C0AFB3F1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{22FAC322-78F4-45C0-99A3-D3E6C0AFB3F1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{22FAC322-78F4-45C0-99A3-D3E6C0AFB3F1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
0
@lexandr@ Messages postés 66 Statut Membre
 
Tu peu me dire comment je vais en mode sans echec...kan jappui sur la touche F8 ca marche pas?
Mon pc est un Compaq Deskpro EN...
0
Réponse 12 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
quand tu redémarres le pc dès qu'il redémarres avant l'affichage de la première page bref dès la première lueur sur ton écran tu appuis sans discontinuer sur F8 et si ça marche pas tes recommance avec F4 ou F5 un apuis seconde et si pas moyen regarde dans le manuel de ton pc si tu n'a pas une autre touche pour y accéder
0
@lexandr@ Messages postés 66 Statut Membre
 
Bas voila j'ai essayer toutes les touches ke tu ma dit et un ecran noir s'affiche en disant ke mon clavier n'est pas pas approprier au pc...je crois ke le virus en ai pour kelke chose non?
0
Réponse 13 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
tant pis passe le en mode normal et poste le rapport suivi d'un nouveau hijackthis , si tu peux me donner le modéle exacte de ton pc je rechercherais sur internet si il n'y a pas une touche pour ton modéle
0