Virus suite au P2P Résolu/Fermé

Question

Bonjour,

alors voila ce qui se passe depuis hier soir suite a un telechargement, (pas catholique) ,d un logiciel de nettoyage pc .vous allez me dire "bien fait pas bien "bon pardon.le virus est passé a travers kaspersky qui m avait mit en alerte et super antispyware aussi .les symptomes sont que, internet 8 est plein de spy (ouverture de pages web ayant rien a voir avec la demande), mais surtout qu il me rejette kaspersky et supe anti spyware. ce matin j ai desinstallé anti spy puis re telecharger je n ai pas pu allez jusqu au bout l ordi me l a rejetté.ensuite je l ai enregistré et lancer en mode sans echec .rien a faire "super spy a cesse de fonctionner windows recherche une solution a ce probleme .le message est le meme en lancant kaspersky antivirus 2009 !! voila merci pour vos reponses tres dur quand on peut plus faire de scan !!!

eZula · Answer

Bonjour, 

télécharge GenProc http://www.genproc.com/GenProc.exe 

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

totobetourne · Answer

bonjour


 Télécharges FindyKill de Chiquitine29 

Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau .

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Entre dans le dossier " FindyKill "

Double clic sur " FindyKill.bat " (et pas sur autre chose!) pour lancer l'outil .

->choisis l'option 1 . Puis laisses travailler ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

kduc · Answer

Salut à tous

axcel13,

Pour l' instant, tu t' en tiens à la procédure détaillée de Genproc.

Pour l' heure, FindyKill n' est pas encore à l' ordre du jour !

Merci de ta compréhension.

axcel13 · Answer

Rapport GenProc 2.572 [5] 
@ 31/05/2009 à 11:28:01 
@ Windows Vista Service Pack 1
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~  
 
# Etape 1/ Télécharge :
 
- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** VISTA *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[5]" sur ton bureau).


# Etape 2/ 

 Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci UsbFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport UsbFix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [4] GenProc 2.572 31/05/2009 à 10:53:33 
Toolbar:le 31/05/2009 à 10:53:53 "C:\Windows\iun6002.exe" 
Smitfraud:le 31/05/2009 à 10:53:54 "C:\Program Files\Google\googletoolbar1.dll" 

# Détections [5] GenProc 2.572 31/05/2009 à 11:27:32 
USBFix:le 31/05/2009 à 11:27:54 "C:\Windows\System32	mp.reg" 
SmitFraudFix v2.417

Scan done at 11:23:54,09, 31/05/2009
Run from C:\Users\VISTA\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted
C:\Program Files\Google\googletoolbar1.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8B2C618-D083-4DED-A028-CC9C85BC8AAF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8B2C618-D083-4DED-A028-CC9C85BC8AAF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.206,85.255.112.116
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.206,85.255.112.116


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) D CPU 2.80GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : VISTA ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : Kaspersky Internet Security 8.0.0.506 (Activated)
   Firewall  : Kaspersky Internet Security 8.0.0.506 (Activated)
   C:\ (Local Disk) - NTFS - Total:227 Go (Free:55 Go)
   D:\ (Local Disk) - NTFS - Total:5 Go (Free:0 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 31/05/2009|11:22 )

   [ UAC => 1 ]

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.google.com/webhp?gws_rd=ssl"
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\Windows\System32\blank.htm"


   --------------------\  Recherche d'autres infections

   [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
   [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
   [b]==> WAREOUT <==/b
 
   --------------------\  Cracks & Keygens ..

   C:\Users\VISTA\AppData\Roaming\BitTorrent\Arturia.Moog.Modular.V.VSTi.RTAS.v2.2.Incl.Keygen-AiR.torrent
   C:\Users\VISTA\AppData\Roaming\BitTorrent\GForce.Minimonsta.VSTi.RTAS.v1.0.8.incl.Keygen-AiR.torrent
   C:\Users\VISTA\AppData\Roaming\BitTorrent\LinPlug.Alpha.VSTi.v3.0.incl.KeyGen-BEAT.torrent
   C:\Users\VISTA\AppData\Roaming\BitTorrent\QUAD Registry Cleaner Serial Keygen.exe.torrent
   C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip
   C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip
   C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\FLEngine.dll
   C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\FLRegkey.reg
   C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\instruction text\instruction on how to crack Fl studio's 8.0.0.txt
   C:\Users\VISTA\Documents\fl studio\vst\D16.Drumazon.VSTi.v1.0.3.Incl.Keygen-AiR.rar
   C:\Users\VISTA\Documents\fl studio\vst\D16.Drumazon.VSTi.v1.0.3.Incl.Keygen-AiR.rar.torrent
   C:\Users\VISTA\Documents\fl studio\vst\keygen (2).exe
   C:\Users\VISTA\Documents\fl studio\vst\keygen.exe
   C:\Users\VISTA\Documents\fl studio\vst\Octopus\keygen.exe


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 31/05/2009|11:04 - Option : [2]
   2 - "C:\ToolBar SD\TB_2.txt" - 31/05/2009|11:22 - Option : [2]

   -----------\  Fin du rapport a 11:22:54,45

voila les amis merci beaucoup pour votre aide

axcel13 · Answer

hello !!

le gros soucie c est que quand je lance hijack this ,je part de suite sur un ecran bleu avec des ecritures que je n ai pas le temps de lire avec un decompte en bas de l ecran et l ordi se met sous tension et redemarre avec un message d erreur de windows comme quoi ca ne va pas ........ j ai essayé de lancer findykilly mais rien ne viens !!
j ai comme l impression que le virus m empeche tout scan ... mais trop novice merci de ton aide

eZula · Answer

C:\Users\VISTA\AppData\Roaming\BitTorrent\Arturia.Moog.Modular.V.VSTi.RTAS.v2.2.Incl.Keygen-AiR.torrent
C:\Users\VISTA\AppData\Roaming\BitTorrent\GForce.Minimonsta.VSTi.RTAS.v1.0.8.incl.Keygen-AiR.torrent
C:\Users\VISTA\AppData\Roaming\BitTorrent\LinPlug.Alpha.VSTi.v3.0.incl.KeyGen-BEAT.torrent
C:\Users\VISTA\AppData\Roaming\BitTorrent\QUAD Registry Cleaner Serial Keygen.exe.torrent
C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip
C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip
C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\FLEngine.dll
C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\FL Studio 8.0.0 XXL Producer RC3 (NEW)\fl.studio.8.0.0.xxl.producer.edition.rc3.crack.zip\FLRegkey.reg
C:\Users\VISTA\Documents\fl studio\FL Studio 8.0.0 XXL Producer RC3 (NEW)\instruction text\instruction on how to crack Fl studio's 8.0.0.txt
C:\Users\VISTA\Documents\fl studio\vst\D16.Drumazon.VSTi.v1.0.3.Incl.Keygen-AiR.rar
C:\Users\VISTA\Documents\fl studio\vst\D16.Drumazon.VSTi.v1.0.3.Incl.Keygen-AiR.rar.torrent
C:\Users\VISTA\Documents\fl studio\vst\keygen (2).exe
C:\Users\VISTA\Documents\fl studio\vst\keygen.exe
C:\Users\VISTA\Documents\fl studio\vst\Octopus\keygen.exe

au vu de ces éléments, la première chose qui vient à l'esprit c'est que quelqu'un manifestement utilise ce pc d'une manère insouciante sans vraiment penser au risque qu'il fait courir aux autres utilisateurs, intervient-il toujours au moment de cette désinfection ?

axcel13 · Answer

bonjour,

je ne comprends pas trop votre message !!! merci ceci dit d y attaché une importance

totobetourne · Answer

bonjour

donc findykill inutil et bien peut etre pas vu le nombre de crack sur le pc et egalement infection ware out qui est visible dans le rapport smitfraud et toolbar , il faudrait l enlever.


1)execute smitfraud en option 5 et colle le rapport obtenu.


2)peut etre passer findykill pour voir si l infection bagle est presente.

axcel13 · Answer

SmitFraudFix v2.417

Scan done at 11:23:54,09, 31/05/2009
Run from C:\Users\VISTA\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted
C:\Program Files\Google\googletoolbar1.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


en revenche l ordi me jette quand j essaye d envoyer findy kil on dirait qu il refuse le scan merci bcp pour ton aide j en peux plus la

totobetourne · Answer

refais smitfraud option 5 mais ne va pas en mode sans echec lorsque tu lances l option.

axcel13 · Answer

SmitFraudFix v2.417

Scan done at 11:23:54,09, 31/05/2009
Run from C:\Users\VISTA\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted
C:\Program Files\Google\googletoolbar1.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK

totobetourne · Answer

tu me colles le meme rapport, regarde bien tu devraition 5 en mode normal.s en avoir un autre apres avoir passer smitfraud op

totobetourne · Answer

regarde les dates et l heure tu ne remarques pas que  c est toujours le meme rapport que tu me colles.

merci de me coller le bon rapport.

eZula · Answer

utilise WORT pour supprimer wareout ;)

axcel13 · Answer

je vous poste les rapport wort ,smit fraud fix (mode sans echec )

===== Rapport WareOut Removal Tool ===== 
 
version 3.0 
 
analyse effectuée le 02/06/2009 à 15:40:17,66 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\VISTA\AppData\Roaming\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\VISTA\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
[HKEY_LOCAL_MACHINE\System\ControlSet012\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.206,85.255.112.116
 
 
~~~~ Recherche du Rootkit kd???.exe ~~~~ 
 
SmitFraudFix v2.417

Rapport fait à 15:42:02,32, 02/06/2009
Executé à partir de C:\Users\VISTA\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

SmitFraudFix v2.417

Rapport fait à 15:42:02,32, 02/06/2009
Executé à partir de C:\Users\VISTA\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK

voila encore merci pour vos reponses

eZula · Answer

lance le nettoyage avec WORT

axcel13 · Answer

c est fait voici le rapport 
===== Rapport WareOut Removal Tool ===== 
 
version 3.0 
 
analyse effectuée le 02/06/2009 à 16:24:21,01 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\VISTA\AppData\Roaming\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\VISTA\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
 
 
~~~~ Recherche du Rootkit kd???.exe ~~~~ 
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System    REG_SZ    

 
============================================

eZula · Answer

fais voir un rapport HijackThis ?

axcel13 · Answer

ca en revanche je ne peux pas te le donner il me refuse l entrée sur hi jack this ainsi que tout anti mal ware anti spyware !! je ne peux rien lancer

eZula · Answer

Même en mode sans échec ?

axcel13 · Answer

meme en mode sans echec malheuresement !!!!

eZula · Answer

aïe, ça a l'air d'être mauvais signe ça... As-tu essayé de renommer HijackThis en abcd.exe ? ou alors un autre utilitaire dans le genre RSIT, Silent runners qui génèrement également des logs ?

eZula · Answer

Utilise l'utilitaire "Navilog1" (options 1 et ensuite 2) pour virer ces traces

Favorit-->c:\users\vista\appdata\local\aumuyom.bat 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\aumuyom]
c:\users\vista\appdata\local\aumuyom.exe aumuyom [] 

rien de véritablement alarmant. Par contre fais ce scan en ligne https://www.micro-astuce.com/securite/NanoScan-Panda.php ce serait bien de voir le rapport final

eZula · Answer

Contente-toi de supprimer ce fichier c:\users\vista\appdata\local\aumuyom.bat s'il existe encore

totobetourne · Answer

navilog est a utiliser en mode normal et pas en mode sans echec comme tu l as effectue.colle les 2 rapports . merci .

eZula · Answer

[*] Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
[*] Double clique combofix.exe et suis les instructions.
[*] Installe la console de récupération si proposé et continue.
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

kduc · Answer

Salut à vous

A tout hasard, regarde dans ...

C:\Program files\... et dans Programmes et fonctionnalités du Panneau de configuration, si tu trouves

Favorit

Si c' est le cas, désinstalle-le/supprime-le !

totobetourne · Answer

donc pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection: IMPORTANT A NE SURTOUT PAS OUBLIER):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html 



ensuite lance navilog en option 1 et ensuite 2 (colle les rapports)

apres lance combofix et colle le rapport.

eZula · Answer

je repasse ce soir avec une manip, oubliez Navilog1 ce n'est pas la priorité

eZula · Answer

Supprime tous les cracks, keygens et autre visibles à moitié dans le rapport nanoscan

Télécharge ensuite The Avenger ici http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ et dézippe-le sur ton bureau.
Lance le fichier avenger.exe, valide le message d'accueil par OK et copie les lignes suivantes en italique, d'un trait, dans le cadre "input Script here" :

Begin copying here:

Drivers to unload:
gxvxcpryxmyjymtatibuonkvsrrneptosxwnv

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}

Files to Delete:
C:\Users	ina\AppData\Local\Temp\comver.dll
C:\WINDOWS\System32\gxvxctpilhtithhepixwjidqqwsuxcqekpjbm.dll
C:\WINDOWS\System32\gxvxcmevqdtiivdrojvdnqsobxpusoobhsdcq.dll
C:\WINDOWS\System32\drivers\gxvxcpryxmyjymtatibuonkvsrrneptosxwnv.sys
C:\WINDOWS\system32\gxvxctpilhtithhepixwjidqqwsuxcqekpjbm.dll
C:\WINDOWS\system32\gxvxcmevqdtiivdrojvdnqsobxpusoobhsdcq.dll

--> Clique ensuite sur "Execute", puis accepte de redémarrer ton pc
Après le redémarrage, un rapport devrait apparaitre (sinon ouvre le fichier C:\avenger.txt) et copie/colle son contenu ici, ainsi qu'un nouveau Log HijackThis si possible

axcel13 · Answer

peux tu me dire ,car la depuis un petit moment je ne fais que suivre a la letter ce que tu me dis car mes connaissances sont depassees !! comment fait on pour supprimer les crack// keygen !!! merci

eZula · Answer

je trouve au contraire que tu es débrouillard, c'est la raison pour laquelle je ne détaille pas trop.
 Donc la référence est à ces fichiers

Bck/Hupigon.AZ... Virus Latent(e) Afficher +Infos Non désinfectable
1. C:\sauvegardes du 24022009\Program Files\Imag...Toxic Biohazard\Toxic Biohazard.dll
2. C:\Users\VISTA\Documents\fl studio\FL Studio ....0_install.exe[Toxic Biohazard.dll]
3. C:\Program Files\Image-Line\FL Studio 8\Plugi...Toxic Biohazard\Toxic Biohazard.dll
4. C:\Users\VISTA\Documents\fl studio\FL Studio ...0_install.exe][Toxic Biohazard.dll]

Bck/Hupigon.AZ... Virus Latent(e) Afficher +Infos Non désinfectable
1. C:\Users\VISTA\Documents\fl studio\FL Studio ....0_install.exe[Toxic Biohazard.dll]
2. C:\Users\VISTA\Documents\fl studio\FL Studio ...0_install.exe][Toxic Biohazard.dll]

Generic Malwar... Virus Latent(e) Afficher +Infos Non désinfectable
1. C:\Users\VISTA\Documents\programm\virtualdj.exe
2. C:\Users\alex\Documents\Program Files\VIRTUAL... BY CRAZYBORIS\CRACK\virtualdj.exe]

Generic Trojan Virus Latent(e) Afficher +Infos Non désinfectable
1. C:\Users\alex\Downloads\VST & VSTi + DX plug-...ound.forge.9.0c.build.405-NoPE.exe] 

certains chemins sont incomplets dans le rapport.

eZula · Answer

HijackThis : possible ?

axcel13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:58, on 03/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\KBD\kbd.exe
C:\WINDOWS\RtHDVCpl.exe
C:\WINDOWS\System32undll32.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\VISTA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RU486KV0\HiJackThis[1].exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

eZula · Answer

Passe cet ultime script Avenger, par précaution :

Begin copying here:

Drivers to unload:
gxvxcserv
gxvxcpryxmyjymtatibuonkvsrrneptosxwnv

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}

Files to Delete:
C:\Users	ina\AppData\Local\Temp\comver.dll
C:\WINDOWS\System32\gxvxcserv.sys
C:\WINDOWS\System32\drivers\gxvxcserv.sys
C:\WINDOWS\System32\gxvxctpilhtithhepixwjidqqwsuxcqekpjbm.dll
C:\WINDOWS\System32\gxvxcmevqdtiivdrojvdnqsobxpusoobhsdcq.dll
C:\WINDOWS\System32\drivers\gxvxcpryxmyjymtatibuonkvsrrneptosxwnv.sys
C:\WINDOWS\system32\gxvxctpilhtithhepixwjidqqwsuxcqekpjbm.dll
C:\WINDOWS\system32\gxvxcmevqdtiivdrojvdnqsobxpusoobhsdcq.dll

Poste le rapport Avenger, et également un nouveau rapport nanoscan stp

eZula · Answer

la même manip qu'ici http://www.commentcamarche.net/forum/affich 12635812 virus suite au p2p?page=2#42 mais avec le script que je viens de te donner

eZula · Answer

Il reste ça :

1. C:\sauvegardes du 24022009\Program Files\Imag...Toxic Biohazard\Toxic Biohazard.dll 
2. C:\Users\VISTA\Documents\fl studio\FL Studio ....0_install.exe[Toxic Biohazard.dll] 
3. C:\Program Files\Image-Line\FL Studio 8\Plugi...Toxic Biohazard\Toxic Biohazard.dll 
4. C:\Users\VISTA\Documents\fl studio\FL Studio ...0_install.exe][Toxic Biohazard.dll] 

Bck/Hupigon.AZ... Virus Latent(e) Afficher +Infos Non désinfectable 
1. C:\Users\VISTA\Documents\fl studio\FL Studio ....0_install.exe[Toxic Biohazard.dll] 
2. C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll 
3. C:\Users\VISTA\Documents\fl studio\FL Studio ...0_install.exe][Toxic Biohazard.dll] 
C:\Users\alex\Downloads\VST & VSTi + DX plug-...backup mappe\FreeAlphaInstaller.exe 
C:\Users\alex\Downloads\Fruityloops VST + FX....rar][Alpha 3\AlphaInstaller300.exe] 
C:\sauvegardes du 24022009\Windows\System32\LineAudio.dll 


c'est normal ?

eZula · Answer

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein et Dj Quiou) http://pc-system.fr/ pour nettoyer les utilitaires téléchargés, 
* Désactive la restauration système, redémarre l'ordinateur, puis réactive-la, en procédant comme indiqué ici  http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Lance le nettoyage avec CCleaner régulièrement
* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* Utilise hebdomadairement ce petit programme http://alt-shift-return.org/Info/Update_Checker.html pour effectuer tes mises à jour logicielles.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)
* Préfère l'utilisation de logiciels libres https://fr.wikipedia.org/wiki/Logiciel_libre : ils sont transparents et plus sécurisés, à l'inverse des logiciels propriétaires https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire ; Firefox, Thunderbird, OpenOffice, VLC... en font partie.

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 
* Note importante : il est fortement conseillé d'utiliser un compte limité pour une utilisation classique d'un ordinateur afin de minimiser très siginificativement les risques d'infection. 
Mode d'emploi : https://www.microsoft.com/de-ch

à+

Virus suite au P2P

38 réponses

Discussions similaires