Sujet Précédent Sujet Suivant

Infection spyware

Fermé
pvallerand - 7 oct. 2009 à 21:33
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016 - 11 oct. 2009 à 22:29
Bonjour,
J'ai depuis plusieurs jours une icone en bas à droite (rond rouge avec une croix blanche) me spécifiant que windows a détecté un spyware. Je n'ai pas cliqué sur cette icone comme demandé.
Mais depuis aujourd'hui je n'arrive plus à ouvrir outlook, message "Application cannot be executed. The file is infected. Please activate your antivirus software".
Je poste ci-dessous le rapport Histjack.
Merci de votre aide.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:25:43, on 07/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\PROGRA~1\AVG\AVG8\avgrsx.exe
E:\Program Files\AVG\AVG8\avgcsrvx.exe
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\WINDOWS\Explorer.EXE
C:\Program Files\OpwareSE2.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Nikon\NkvMon.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
E:\WINDOWS\system32\winupdate.exe
E:\WINDOWS\system32\winupdate.exe
E:\WINDOWS\system32\winupdate.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
E:\Program Files\Internet Explorer\iexplore.exe
D:\Pascal\Téléchargements\Anti virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [winupdate.exe] E:\WINDOWS\system32\winupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EPSON Stylus SX200 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEFE.EXE /FU "E:\WINDOWS\TEMP\E_S2E6.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-746137067-842925246-500\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = E:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - E:\WINDOWS\SYSTEM32\avgrsstx.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\System32\browseui.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - E:\WINDOWS\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - E:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - E:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - E:\WINDOWS\System32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - E:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySQL - Unknown owner - E:\Program.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - E:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - E:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - E:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - E:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - E:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - E:\WINDOWS\System32\wbem\wmiapsrv.exe
A voir également:

16 réponses

Réponse 1 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 oct. 2009 à 21:36
Salut,

-+-+-+-> SmitFraudFix <-+-+-+-


[x] Télécharge SmitFraudFix à cette adresse : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

[x] Double clique sur " SmitfraudFix.exe "

[x] Choisis l'option 1, puis poste le rapport qui se trouve à la racine système ( C:\rapport.txt)
0
Réponse 2 / 16
pvallerand
7 oct. 2009 à 22:03
Bonsoir Xplode,
Merci pour la prise en compte de mon message.
J'ai telecharge SmitFraudFix mais je n'arrive pas l'executer : j'ai le meme message que lorsque j'essaie d'ouvrir outlook express. Je viens d'ailleur de me rendre compte que je ne sais plus non plus ouvrir de fichier avec accrobat reader.
Merci
0
Réponse 3 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 oct. 2009 à 22:07
Essaie en mode sans échec :

( tapote F8 au démarrage de l'ordinateur puis séléctionne mode sans echec avec prise en charge réseau )
0
Réponse 4 / 16
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
7 oct. 2009 à 22:30
Aie !!!!! Même probleme, toujours le meme message.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 oct. 2009 à 22:37
Ok, on va faire ceci :

-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved


:processes
winupdate.exe
explorer.exe

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winupdate.exe"=-

:files
E:\WINDOWS\system32\winupdate.exe

:commands
[emptytemp]
[purity]
[start explorer]




[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles
0
pvallerand
11 oct. 2009 à 18:39
Bonjour,
Depuis mercredi du nouveau : mercredi soir je n'arrivais plus à lancer bcq de programmes.
Jeudi et vendredi j'ai exécuté 2 fois un scan complet de l'ordi avec AVG. Des virus ont été trouvé et supprimé.
J'arrive de nouveau à exécuté des programmes (Outlook express par exemple) mais AdvancedVirusRemover est toujours présent.
J'ai donc pu ce soir exécuter SmitFraudFix.
Ci dessous le rapport.
SmitFraudFix v2.424

Rapport fait à 18:24:38,88, 11/10/2009
Executé à partir de D:\Pascal\T‚l‚chargements\Anti virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\PROGRA~1\AVG\AVG8\avgrsx.exe
E:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\Program Files\AVG\AVG8\avgcsrvx.exe
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\Explorer.EXE
C:\Program Files\OpwareSE2.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Nikon\NkvMon.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
E:\WINDOWS\system32\cmd.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:\


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

Merci.
A bientot.
0
Réponse 6 / 16
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
7 oct. 2009 à 22:49
Je dois m'arrêter pour ce soir.
Je reprends ta procédure demain soir.
Merci beaucoup.
A demain.
0
Réponse 7 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 20:42
Salut, le rapport smitfraud n'est pas complet..
0
pvallerand
11 oct. 2009 à 20:54
Désolé, j'avais pas vu que je n'avais copié qu'une partie.
SmitFraudFix v2.424

Rapport fait à 18:24:38,88, 11/10/2009
Executé à partir de D:\Pascal\T‚l‚chargements\Anti virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\PROGRA~1\AVG\AVG8\avgrsx.exe
E:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\Program Files\AVG\AVG8\avgcsrvx.exe
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\Explorer.EXE
C:\Program Files\OpwareSE2.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Nikon\NkvMon.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
E:\WINDOWS\system32\cmd.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:\


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Pascal-Carole


»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\PASCAL~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Pascal-Carole\Application Data

E:\Documents and Settings\Pascal-Carole\Application Data\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

E:\DOCUME~1\PASCAL~1\MENUDM~1\Advanced Virus Remover.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\PASCAL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau

E:\DOCUME~1\PASCAL~1\Bureau\Advanced Virus Remover.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

E:\Program Files\AdvancedVirusRemover\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="E:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.142
DNS Server Search Order: 84.103.237.142

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 84.103.237.141
DNS Server Search Order: 86.64.145.141

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CCS\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CS1\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CS1\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CS2\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CS2\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 8 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 20:59
* Redémarrez l'ordinateur en mode sans échec.
* Double-cliquez sur SmitfraudFix. (Sous Vista : clic-droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 2 pour supprimer les fichiers responsables de l'infection.
* A la question : Voulez-vous nettoyer le registre ? Répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection ; le fix déterminera si le fichier wininet.dll est infecté. A la question : Corriger le fichier infecté ? Répondre O (oui) pour remplacer le fichier corrompu.
* Et ensuite, enregistrez aussi ce rapport sur votre Bureau.
* Redémarrez en mode normal et postez le rapport sur le topic du forum que vous avez créé.
0
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
11 oct. 2009 à 21:43
Mon fond d'écran est devenu blanc, j'ai l'icone AdvancedVirus Remover en barre de lancement rapide et une fenetre me précisant que mon ordinateur est infecte.
Le rapport ci dessous.
Merci.
SmitFraudFix v2.424

Rapport fait à 21:29:42,95, 11/10/2009
Executé à partir de E:\Documents and Settings\Pascal-Carole\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

E:\WINDOWS\system32\AVR09.exe supprimé
E:\WINDOWS\system32\winupdate.exe supprimé
E:\Documents and Settings\Pascal-Carole\Application Data\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk supprimé
E:\DOCUME~1\PASCAL~1\MENUDM~1\Advanced Virus Remover.lnk supprimé
E:\DOCUME~1\PASCAL~1\Bureau\Advanced Virus Remover.lnk supprimé
E:\Program Files\AdvancedVirusRemover\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.142
DNS Server Search Order: 84.103.237.142

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 84.103.237.141
DNS Server Search Order: 86.64.145.141

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.143
DNS Server Search Order: 84.103.237.143

HKLM\SYSTEM\CCS\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CCS\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=86.64.145.143 84.103.237.143
HKLM\SYSTEM\CCS\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CS1\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CS1\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=86.64.145.143 84.103.237.143
HKLM\SYSTEM\CS1\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CS2\Services\Tcpip\..\{57A7B1DC-692B-41C2-A352-D69F83A5B944}: DhcpNameServer=84.103.237.141 86.64.145.141
HKLM\SYSTEM\CS2\Services\Tcpip\..\{777F1E7F-17DB-4A8E-BBB7-32A370D89A0E}: DhcpNameServer=86.64.145.143 84.103.237.143
HKLM\SYSTEM\CS2\Services\Tcpip\..\{77EB790D-1E6B-4C1A-9F4D-D5AB592F1242}: DhcpNameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.143 84.103.237.143
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.143 84.103.237.143
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.143 84.103.237.143


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 9 / 16
kiki339 Messages postés 547 Date d'inscription lundi 1 décembre 2008 Statut Membre Dernière intervention 13 décembre 2009 85
11 oct. 2009 à 21:46
analyse spybot . =) =)
0
Réponse 10 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 21:48
-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie colle le contenu des deux rapports dans ton prochain message

[o] Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
0
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
11 oct. 2009 à 21:58
Pas possible executer rsit.exe : message ".. n'est pas une application win32 valide"
0
Réponse 11 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 21:59
-+-+-+-> Findykill ( Infections Bagle ) <-+-+-+-


/!\ Désactive tes protections résidentes ( Antivirus, Pare-Feu, Antispyware ) /!\

[x] Télécharge Findykill à cette adresse : https://www.androidworld.fr/

IMPORTANT : Renomme en en CCM1.exe avant de l'éxecuter

[x] Branche tout tes médias amovibles sur ton PC

[x] Lance Findykill ( clique droit -> éxecuter en tant qu'administrateur sous vista )

[x] Choisis l'option F ( français ) puis l'option n°1 ( Recherche )

[x] Laisse le scan s'opérer.

[x] Copie/Colle le rapport qui s'ouvrira et poste le dans ta prochaine réponse

[x] Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )
0
Réponse 12 / 16
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
11 oct. 2009 à 22:12
Quel fichier dois-je renommer en CCM1.exe ?
0
Réponse 13 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 22:16
findykill.exe
0
Réponse 14 / 16
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
11 oct. 2009 à 22:22
Ci dessous le rapport

############################## | FindyKill V5.013 |

# User : Pascal-Carole (Administrateurs) # FAMILLE
# Update on 08/10/2009 by Chiquitine29
# Start at: 22:19:31 | 11/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) Processor
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 9,76 Go (5,5 Go free) # FAT32
# D:\ # Disque fixe local # 58,59 Go (36,21 Go free) # NTFS
# E:\ # Disque fixe local # 8,33 Go (3,29 Go free) [Système bis] # NTFS
# I:\ # Disque CD-ROM
# K:\ # Disque amovible

############################## | Processus actifs |

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\PROGRA~1\AVG\AVG8\avgrsx.exe
E:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\Program Files\AVG\AVG8\avgcsrvx.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\WINDOWS\Explorer.EXE
C:\Program Files\OpwareSE2.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
E:\Program Files\AdvancedVirusRemover\PAVRM.exe
C:\Program Files\Nikon\NkvMon.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
E:\Program Files\Outlook Express\msimn.exe
E:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

################## | E: |


################## | E:\WINDOWS |

Présent ! E:\WINDOWS\Prefetch\118.EXE-2C4884BB.pf
Présent ! E:\WINDOWS\Prefetch\286.EXE-1ADA5F33.pf
Présent ! E:\WINDOWS\Prefetch\343.EXE-35418C13.pf
Présent ! E:\WINDOWS\Prefetch\382.EXE-01138288.pf
Présent ! E:\WINDOWS\Prefetch\514.EXE-1CCC2EFB.pf
Présent ! E:\WINDOWS\Prefetch\668.EXE-0A8CCAA7.pf
Présent ! E:\WINDOWS\Prefetch\670.EXE-1A8E86D0.pf
Présent ! E:\WINDOWS\Prefetch\715.EXE-39A642E9.pf
Présent ! E:\WINDOWS\Prefetch\842.EXE-0049EDF1.pf
Présent ! E:\WINDOWS\Prefetch\887.EXE-03B78A1E.pf
Présent ! E:\WINDOWS\Prefetch\963.EXE-07D3B06D.pf

################## | E:\WINDOWS\system32 |


################## | E:\WINDOWS\system32\drivers |


################## | E:\Documents and Settings\Pascal-Carole\Application Data |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.013 ! |
0
Réponse 15 / 16
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 oct. 2009 à 22:23
-+-+-+-> Findykill - Nettoyage <-+-+-+-


[x] Relance findykill mais choisis cette fois-ci l'option 2

[x] N'oublie pas de laisser tes médias amovibles branchés

[x] Le bureau disparaîtra et le PC redémarrera.

[x] Au redémarrage , FindyKill scannera ton PC, laisse travailler l'outil.

[x] Ensuite poste le rapport FindyKill.txt qui apparaîtra avec le Bureau.

[x] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)
0
Réponse 16 / 16
pvallerand Messages postés 8 Date d'inscription mercredi 7 octobre 2009 Statut Membre Dernière intervention 5 juillet 2016
11 oct. 2009 à 22:29
OK, merci bcq, je ferai la manip demain soir.
A bientot et encore grand merci.
0

Discussions similaires

Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses
Problème Virus Trojan
jmpower -
bazfile -

4 réponses