Sujet Précédent Sujet Suivant

Your computer is infected

Fermé
dzenis - 3 nov. 2009 à 12:17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 3 nov. 2009 à 19:28
Bonjour, J'ai sur mon ordinateur aficher le message Your computer is infected et j'ai un grosse croix rouge ds les option a coter de l'heure.

Voila le raport : SmitFraudFix v2.424

Rapport fait à 12:14:28,37, 03/11/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WinExpose\WinExpose.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\karna.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe PRESENT !
C:\WINDOWS\system32\karna.dat PRESENT !
C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


C:\WINDOWS\system32\drivers\beep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{27DC8F03-C9CB-4AFE-9121-03228AFF717E}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DDB3817F-40C3-49BE-9E2B-55F74BACDA4D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{27DC8F03-C9CB-4AFE-9121-03228AFF717E}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DDB3817F-40C3-49BE-9E2B-55F74BACDA4D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{27DC8F03-C9CB-4AFE-9121-03228AFF717E}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DDB3817F-40C3-49BE-9E2B-55F74BACDA4D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Si vous pouvez m'aidez mercii

24 réponses

Précédent
  • 1
  • 2
Réponse 21 / 24
dzenis
3 nov. 2009 à 18:49
Oui mise a jour faite ce que je n'avait pas vue et la je fait l'analyse dans protection locale..
0
Réponse 22 / 24
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
3 nov. 2009 à 18:51
OK,

Tiens , un tuto pour mieux comprendre les réglages de Antivir.
Tu pourras le lire ensuite :

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/trojandownloader-agent-resolu-sujet_3090_1.htm

A+
0
Réponse 23 / 24
dzenis
3 nov. 2009 à 19:11
Tien c'est le raport de l'analyse :


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 3 novembre 2009 18:48

La recherche porte sur 1859671 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Administrateur
Nom de l'ordinateur : XPLOSION

Informations de version :
BUILD.DAT : 9.0.0.70 18071 Bytes 25/09/2009 12:03:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 03/11/2009 14:48:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 14:48:09
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 14:48:09
ANTIVIR3.VDF : 7.1.6.183 178176 Bytes 03/11/2009 14:48:09
Version du moteur : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 03/11/2009 14:48:09
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 03/11/2009 14:48:09
AESCN.DLL : 8.1.2.5 127346 Bytes 03/11/2009 14:48:09
AERDL.DLL : 8.1.3.2 479604 Bytes 03/11/2009 14:48:09
AEPACK.DLL : 8.2.0.2 422263 Bytes 03/11/2009 14:48:09
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 03/11/2009 14:48:09
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 03/11/2009 14:48:09
AEHELP.DLL : 8.1.7.0 237940 Bytes 03/11/2009 14:48:09
AEGEN.DLL : 8.1.1.70 364917 Bytes 03/11/2009 14:48:09
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/11/2009 14:48:09
AECORE.DLL : 8.1.8.1 184693 Bytes 03/11/2009 14:48:09
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 03/11/2009 14:48:10
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 03/11/2009 14:48:09
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 10:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 3 novembre 2009 18:48

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WlanCU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SiSWLSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFLnch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinExpose.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'22' processus ont été contrôlés avec '22' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '46' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
C:\Qoobox\Quarantine\C\WINDOWS\brastk.exe.vir
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.nuz
C:\WINDOWS\system32\cmdow.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/HideWindows.31232.1

Début de la désinfection :
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b597242.qua' !
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b52723a.qua' !
C:\Documents and Settings\Administrateur\Mes documents\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b63723a.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\brastk.exe.vir
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.nuz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b517247.qua' !
C:\WINDOWS\system32\cmdow.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/HideWindows.31232.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b547242.qua' !


Fin de la recherche : mardi 3 novembre 2009 19:09
Temps nécessaire: 20:45 Minute(s)

La recherche a été effectuée intégralement

2185 Les répertoires ont été contrôlés
102344 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
5 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
102337 Fichiers non infectés
974 Les archives ont été contrôlées
1 Avertissements
6 Consignes



Tu m'a parlé de WinExposé ??? J'ai vu que je l'ai sur mon pc.. pourquoi tu m'en a parler ?
0
Réponse 24 / 24
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
3 nov. 2009 à 19:28
Winexpose se charge au démarrage du PC.
On a analysé le fichier qui n'est pas infectieux mais je voulais savoir si tu l'utilisais et le connaissais.
Sinon, par précaution, on l'aurait désactivé.

Antivir t'a trouvé un seul fichier infectieux : cmdow.exe
Un fichier a été trouvé dans la quarantaine de ComboFix ( QooBox )
Smitfraudfix qui est un outil de désinfection est détecté à tord et supprimer.

Quand tu liras le tuto pour Antivir, tu verras comment mettre des logiciels en exception.

1/ Vide la quarantaine d'Antivir. Pour cela, ouvre le .
dans Administration --> quarantaine --> sélectionne les fichiers puis supprime-les.

2/ Désinstalle ComboFix .
Pour cela : Démarrer --> exécuter --> tape ComboFix /uninstall

3/ Mets à jour ton PC. C'est aussi important que l'antivirus.
Ce sont des failles de sécurité pour de possibles infections.

- Acrobat Reader :
Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

- Java :
Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.

Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

- secunia : https://www.flexera.com/products/operations/software-vulnerability-management.html
Tu peux aussi aller sur le site suivant et scanner ton PC.
Il te sera indiqué les logiciels qui ne sont pas à jour.

Après on termine.

A+
0

Discussions similaires

Spam SMS : your messenger vérification code is ***
Metheor -
Radinoz -

1 réponse
Comment résoudre "The requested URL was rejected"
Cguya -
jeannets -

3 réponses
Problème démarrage hard disk
lolo93 -
chgon -

29 réponses
Warning your dimm1 and dimm2 module organization is not same
soulbledar -
Corentin -

4 réponses
Sms étranges "... is your instagram code"
Anon_4067 -
lablg23 -

5 réponses