PC INFECTE Antivirus software alert Résolu/Fermé

Question

Bonjour,

Depuis de matin mon pc m'indique qu'il est infecté et m'affiche pleins de liens dans la barre de tâche en me marquant ANTIVIRUS SOFTWARE ALERT, 
Attack from : 117.238.104.16, port 46889
Attacked port 36519
treat : win32/nuqel.
etc etc

je ne peux n'y accéder à mes logiciels de protection type spybot, adaware ou antivir... je ne peux même pas faire ctrl alt supp pour essayer de voir les processus en cours. et celà m'ouvre aussi des fenetres internet IE avec des liens porno... 

Merci de m'aider celui là semble coriace !

Je vous ecoute et merci d'avance. alex

jfkpresident · Accepted Answer

Celui ci devrait fonctionner :

telecharge HostsXpert v4.0
http://www.funkytoad.com/download/HostsXpert.zip
décompresse-le sur le bureau.
clique sur Restore MS Hosts files 

=====================

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=====================

Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_points_de_restauration

Tu peux supprimer Ad-aware (il est devenu obsolete) .

Met a jour ta console Java : https://www.java.com/fr/download/manual.jsp

Tu utilises E-mule et Azureus ,je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

Je met donc en "résolu" .

Bon surf !

Utilisateur anonyme · Answer

donc tu n'as pas acces a ton antivirus habituel?

legdalex · Answer

Non je ne peux même pas lancer ANTIVIR... tous les accès aux logiciels de protection, même restauration système je ne peux pas y accéder... 
Merci de votre aide svp

Utilisateur anonyme · Answer

tu pourrais avoir acces a un disque externe ? (clé usb)

jfkpresident · Answer

Hello ;

 Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

meme une clé usb ? 
1GO suffirait .

legdalex · Answer

Mon portable alors peut etre ? ou une carte sd ?

jfkpresident · Answer

*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :

Rkill
Rkill
Rkill
Rkill

*Enregistrer le fichier sur le Bureau.
*Désactive ton antivirus et/ou antispyware .
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Ensuite essaie de lancer ZhpDiag .

Utilisateur anonyme · Answer

carte sd ... peut etre possible mais pas sur du tout .

telecharger a-squared free :antivirus a mettre sur disque amovible .
il devrait detecter tes virus . 

c'est une possibilité .

jfkpresident · Answer

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

legdalex · Answer

Voici le rapport reçu : Fichier fmxbsftav.exe reçu le 2010.02.18 18:31:20 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 15/41 (36.59%) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.02.18 - AhnLab-V3 5.0.0.2 2010.02.18 - AntiVir 8.2.1.170 2010.02.18 TR/FraudPack.alnv Antiy-AVL 2.0.3.7 2010.02.18 - Authentium 5.2.0.5 2010.02.18 W32/FakeAV.RD Avast 4.8.1351.0 2010.02.18 Win32:Adware-gen AVG 9.0.0.730 2010.02.18 - BitDefender 7.2 2010.02.18 - CAT-QuickHeal 10.00 2010.02.18 - ClamAV 0.96.0.0-git 2010.02.18 - Comodo 3982 2010.02.18 - DrWeb 5.0.1.12222 2010.02.18 - eSafe 7.0.17.0 2010.02.18 - eTrust-Vet 35.2.7310 2010.02.18 Win32/AntivirusLive.H F-Prot 4.5.1.85 2010.02.17 - F-Secure 9.0.15370.0 2010.02.18 Suspicious:W32/Malware!Gemini Fortinet 4.0.14.0 2010.02.18 - GData 19 2010.02.18 Win32:Adware-gen Ikarus T3.1.1.80.0 2010.02.18 - Jiangmin 13.0.900 2010.02.18 - K7AntiVirus 7.10.977 2010.02.18 - Kaspersky 7.0.0.125 2010.02.17 Trojan.Win32.FraudPack.alnv McAfee 5896 2010.02.18 - McAfee+Artemis 5896 2010.02.18 - McAfee-GW-Edition 6.8.5 2010.02.18 Heuristic.LooksLike.Win32.Suspicious.I Microsoft 1.5406 2010.02.18 TrojanDownloader:Win32/Renos.KQ NOD32 4878 2010.02.18 Win32/Adware.SpywareProtect2009 Norman 6.04.08 2010.02.18 - nProtect 2009.1.8.0 2010.02.18 - Panda 10.0.2.2 2010.02.18 Suspicious file PCTools 7.0.3.5 2010.02.17 - Prevx 3.0 2010.02.18 High Risk Fraudulent Security Program Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.18 Mal/FakeAV-CF Sunbelt 5684 2010.02.18 - Symantec 20091.2.0.41 2010.02.18 AntiVirus2008 TheHacker 6.5.1.4.198 2010.02.18 Trojan/FraudPack.alnv TrendMicro 9.120.0.1004 2010.02.18 - VBA32 3.12.12.2 2010.02.18 - ViRobot 2010.2.18.2192 2010.02.18 - VirusBuster 5.0.27.0 2010.02.18 - Information additionnelle File size: 278784 bytes MD5...: b8f270a085334e2ed045ce38b0a80b7c SHA1..: a1aff9bc48193c0b07529477503864ec71e3518a SHA256: 55d7f2e2359d9dece893c2600cf9f32d0564f6607cb5466731d86ea2d8611b71 ssdeep: 6144:wiUeyKK3Gz6fvManYDIA9fXFc8Z5NZohtCO/4D0oUshcv5B:Fq2IUyYflyb C+F4G5B PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x76830 timedatestamp.....: 0x4b7aa27a (Tue Feb 16 13:49:46 2010) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x33000 0x44000 0x43a00 7.77 65514bda852ec32dcb654e5447edf8bd .rsrc 0x77000 0x1000 0x200 3.47 77d15c0f01058b7e5b2f173b741cd865 ( 3 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > SHLWAPI.dll: UrlHashA > USER32.dll: GetMessageA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: UPX compressed Win32 Executable (42.6%) Win32 EXE Yoda's Crypter (37.0%) Win32 Executable Generic (11.8%) Clipper DOS Executable (2.8%) Generic Win/DOS Executable (2.7%) packers (F-Prot): UPX sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned http://info.prevx.com/aboutprogramtext.asp?PX5=26990B360063B95F412E049EC0F46D0012796B2B Dis moi si ça te suffit ou s'il te manque quoi que ce soit ;) Merci

jfkpresident · Answer

Impeccable ,on voit bien que le fichier est infecté .

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".




:Reg
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"gdvjicxu"=- 

:files
 C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe       
:services

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

legdalex · Answer

Ok super voilà le résultat :

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gdvjicxu deleted successfully.
========== FILES ==========
C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Alex
->Temp folder emptied: 212162 bytes
->Temporary Internet Files folder emptied: 44148232 bytes
->Java cache emptied: 6720739 bytes
->FireFox cache emptied: 91986263 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 13846117 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 150,00 mb
 
 
OTM by OldTimer - Version 3.1.8.0 log created on 02182010_200709

Files moved on Reboot...

Registry entries deleted on Reboot...


Est-ce fini ? je peux décocher les fichiers cachés etc ?

jfkpresident · Answer

Comment va le pc ?

legdalex · Answer

Bah ecoute.. déjà lorsque tu m'avais demandé de lancer Rkill je ne voyais plus rien s'afficher... mais je suppose que ce virus ou appelles ça comme tu veux, était tjrs présent....

Le pc s'est redémarré, il est bcp moins long aussi... Toi qui lis entre les lignes tu dois savoir si mon pc est sain ou presque désormais lol...

Que dois-je faire d'autres sinon ? est ce fini ?

Merci pour ton aide franchement respect

jfkpresident · Answer

Que dois-je faire d'autres sinon ? est ce fini ? 

On va faire une derniere vérif ensuite je te donnerais quelques conseils pour finir .

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

legdalex · Answer

Re !!!

Alors il m'a supprimé 4 trucs malveillants voici le rapport :


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

18/02/2010 22:43:24
mbam-log-2010-02-18 (22-43-24).txt

Type de recherche: Examen complet (C:\|D:\|J:\|)
Eléments examinés: 302419
Temps écoulé: 1 hour(s), 50 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\911 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


S'il y a autre chose à faire dis le moi... 
C'est tout de même bizarre que j'ai eu ce ou ces virus car j'utilise régulièrement ANTIVIR (le meilleur des gratuits je pense), SPYBOT (qui protège en temps réel logiquement mais aussi en faisant une analyse) et ADAWARE... sans compter les truc déjà installés avec VISTA... ça va tellement vite tout ça !

jfkpresident · Answer

Télécharge R-Hosts (de S!ri).

Lance R-host en double cliquant sur l’exe, puis clique sur restaurer , puis ok.

Dis moi ensuite si tu as encore des soucis avec le pc ?

legdalex · Answer

Il semble que ce logiciel ne fonctionne pas avec VISTA.
et j'ai essayé de le faire en comptabilité XP mais ça me met 
Impossible de créer le fichier C:\WINDOWS\system32\drivers\etc\hosts.

... donc là c toi qui sait lol mdr

legdalex · Answer

Salut ,

Tu vas me trouver embêtant mais... ça me met le même message...

jfkpresident · Answer

On est reparti alors .

Télécharge smitfraudfix
Utilitaire de S!Ri: Moe et balltrap34

Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation option 1 Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 aide en images

legdalex · Answer

Re !

alors voici le rapport de smitfraudfix :



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=dword:00000000


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: HP 802.11b/g Wireless Network Adapter
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7B511454-E4DE-4E8D-8E7B-D3BD0E52E4A9}: DhcpNameServer=192.168.30.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8299E56B-510C-46AF-B376-F7B0ED457AD0}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

legdalex · Answer

Alors :

1/ HOSTSXPERTS il veut pas passer je sais pas pq...

2/TOOLS CLEANER a fonctionné mais il me marque qu'il est impossible de créer un rapport... néanmoins voilà ce que j'ai pu lire :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\SmitFraudFix.exe: trouvé !
C:\cleannavi.txt: trouvé !
C:\SmitFraudfix: trouvé !
C:\_OTM: trouvé !

---------------------------------
--> Suppression: 

C:\cleannavi.txt: ERREUR DE SUPPRESSION !!
C:\SmitFraudfix: ERREUR DE SUPPRESSION !!
C:\_OTM: supprimé !


j'ai bien pris note de tes suggestions... c vrai qu'e-mule et azureus j'utilise plus..

jfkpresident · Answer

Tu vas me trouver embêtant mais... ça me met le même message...

On s'est peut etre mal compris ??!

Le message dont tu me parles est celui-ci :

Depuis de matin mon pc m'indique qu'il est infecté et m'affiche pleins de liens dans la barre de tâche en me marquant ANTIVIRUS SOFTWARE ALERT,
Attack from : 117.238.104.16, port 46889
Attacked port 36519
treat : win32/nuqel.
etc etc 

Ou autre chose que j'aurais mal interprété ?

JIsa · Answer

Bonsoir,
J'ai le meme virus visiblement sur mon ordi... besoind d'aide merci bcp

jfkpresident · Answer

Salut ,

C:\cleannavi.txt: ERREUR DE SUPPRESSION !!
C:\SmitFraudfix: ERREUR DE SUPPRESSION !! 

Tu peux les supprimer manuellement ,il se trouve a la racine de ton disque dur C:\

jfkpresident · Answer

Jisa42 : tu peux creer ton propre topique STP .

Jisa42 · Answer

j'ai créé un nouveau sujet.. mais pas de réponse....... à moins que ce ne soit pas encore au bon endroit ;)

jfkpresident · Answer

Donne moi le lien ici .

Jisa42 · Answer

https://forums.commentcamarche.net/forum/affich-16773110-virus-antivirus-sftware-alert

Lowena · Answer

Salut,

Ça fait quatre ou cinq heures que j'essaye de virer cette saleté et je commence sérieusement à désespérer... Je commence à faire des bêtises et comme je risque de le regretter plus tard je préfère poster un message ici et aller me coucher ^^'

Voilà le rapport de smitfraudfix:

SmitFraudFix v2.424


Rapport fait à  4:28:21,46, 26/02/2010
Executé à partir de C:\Documents and Settings\Lowenaaa\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lowenaaa


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lowenaaa\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lowenaaa\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lowenaaa\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!




»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: OLITEC 515V1 - PCI Card 802.11g - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{131AD24A-5602-4F16-897A-BA9F642A67FF}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E155967-34E8-48FE-8F72-679686CABB4E}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{131AD24A-5602-4F16-897A-BA9F642A67FF}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{131AD24A-5602-4F16-897A-BA9F642A67FF}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Qu'importe si je dois supprimer quelques logiciels, tout ce que je veux c'est que ça disparaisse... merci de ton aide.

jfkpresident · Answer

Creer votre propre topique ...sinon ca devient incompréhensible sur celui ci ...

Pédro · Answer

J'ai eu récement le même problème. C'est parfaitement agaçant !

J'ai donc contacté AVIRA pour leur signaler le problème.
J'ai redémaré le PC (sous XP) en mode sans échec, manifestement le virus n'est pas actif dans ce mode là.
Sur un autre poste j'ai téléchargé MalwareBytes et installé sur le PC infecté via une clef USB et j'ai lancé MalwareBytes qui à travaillé toute une nuit. Et apparement le nettoyage a été efficace, le PC a redémaré normalement, AVIRA à également détecté imédiatement les virus en quarantaine : je supose donc que AVIRA a intégré la détection entre temps dans la mise à jour du lendemain. Si c'est le cas bravo AVIRA (la version pas gratuite !).

babaou · Answer

hello j ai le même problèlme que toi  as tu trouvé une solution a ce probleme moi  msn] fonctionne mais un mess  fais barrage etc merci de ta reponse je n arrive pas a ecouter mes music et ouvrir mes photos

myssnette · Answer

Bonjour,

JFKpresident j'ai le meme probleme j'ai suivit les instructions du sujet mais je suis bloque ap mon rapport . Pouvez vous m aider ?

https://forums.commentcamarche.net/forum/virus-securite-7/new

Aurel3471 · Answer

Est ce quelqu'un peut passer pour m'aider svp  :S  sur ce lien :
https://forums.commentcamarche.net/forum/affich-20588608-antivirus-software-alert-virus

jfkpresident · Answer

Colle moi un rapport ZhpDiag .

PC INFECTE Antivirus software alert

37 réponses

Discussions similaires