Sujet Précédent Sujet Suivant

[trojan spyware] spyfalcon

balthazar -  
Kristopher Messages postés 3752 Statut Contributeur -
salut, j'ai attrapé un trojan ou un spyware nommé "spyfalcon". ce logiciel s'installe automatiquement sur mon PC a chaque démarrage. j'ai essayé tous les anti-spyware (ad-aware, spybot...) mais ça ne marche pas !! quelqu'un peut m'aider ?
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
jmber Messages postés 2743 Statut Contributeur 680
 
Salut, lis ce topic, il pourra surement t'aider :

http://forum.zebulon.fr/index.php?showtopic=87311
0
Réponse 2 / 26
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut à vous !

on va voir ça :

1)

Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport Copie/colle le sur le poste stp.

2)

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

bon courage; @+
0
Réponse 3 / 26
balthazar
 
voici le rapport avant le mode sans échec, je reviens avec l'autre rapport dans 5 min :

SmitFraudFix v2.21

Rapport fait à 23:53:34,06 le ven. 03/03/2006
Executé à partir de D:\smit\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

C:\Documents and Settings\TRUONG\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 2.0.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

C:\Documents and Settings\TRUONG\Menu Démarrer\SpyFalcon 2.0.lnk PRESENT !
C:\Documents and Settings\TRUONG\Menu Démarrer\Programmes\SpyFalcon PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

C:\Documents and Settings\TRUONG\Bureau\SpyFalcon.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\SpyFalcon\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{DA223E41-3F7F-4B2B-8CC8-22C6A1197EEB}"="z"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}"="Master Browseui"

[HKEY_CLASSES_ROOT\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}\InProcServer32]
@="C:\D\WINNT\admparsel.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}\InProcServer32]
@="C:\D\WINNT\admparsel.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\D\WINNT\system32\ginuerep.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\D\WINNT\system32\ginuerep.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0
Réponse 4 / 26
balthazar
 
SmitFraudFix v2.21

Rapport fait à 0:00:50,01 le sam. 04/03/2006
Executé à partir de D:\smit\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\TRUONG\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 2.0.lnk supprimé
C:\Documents and Settings\TRUONG\Bureau\SpyFalcon.lnk supprimé
C:\Documents and Settings\TRUONG\Menu Démarrer\SpyFalcon 2.0.lnk supprimé
C:\Documents and Settings\TRUONG\Menu Démarrer\Programmes\SpyFalcon supprimé
C:\Program Files\SpyFalcon\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

--------------------------------------------------------------------------

SmitFraudFix v2.21

Rapport fait à 0:01:29,09 le sam. 04/03/2006
Executé à partir de D:\smit\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\D\WINNT\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{DA223E41-3F7F-4B2B-8CC8-22C6A1197EEB}"="z"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}"="Master Browseui"

[HKEY_CLASSES_ROOT\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}\InProcServer32]
@="C:\D\WINNT\admparsel.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}\InProcServer32]
@="C:\D\WINNT\admparsel.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\D\WINNT\system32\ginuerep.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\D\WINNT\system32\ginuerep.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re !

maintenant :

pti nettoyage :

télécharge ceux-ci ( si ce n'est pas déjà fait ! )

Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

Spybot (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

Petite démo pour comprendre l'utilisation (merci à Ballatrap, le concepteur) :

http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

a-squared
http://www.emsisoft.net/fr/software/download/

ewido (dowload)
http://www.ewido.net/fr/download/

¤Télécharger CleanUp40 (qui élimine les fichiers temporaires + cookies) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

démo : http://pageperso.aol.fr/balltrap34/democleanup.htm

mets tout à jour, lance les scan en mode sans echec ( pour cela redamarre en appuillant sur le touche F8 ou F5 ) et redamarre en mode normal et dis nous si c'est mieux

bon courage ,@+
0
Réponse 6 / 26
balthazar
 
aucun changement malheuresement !
0
Réponse 7 / 26
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
re !

aucun ! ==> impossible lol !

il y en a eu : mais c'est pas finit ...

Telecharde ceux-ci :

http://www.infos-du-net.com/telecharger/HijackThis.html = lien

http://pageperso.aol.fr/balltrap34/demohijack.htm = démo

( Merci à Balltrap )

Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.

@+
0
Réponse 8 / 26
balthazar
 
Logfile of HijackThis v1.99.1
Scan saved at 01:45:38, on 04/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\D\WINNT\System32\smss.exe
C:\D\WINNT\system32\winlogon.exe
C:\D\WINNT\system32\services.exe
C:\D\WINNT\system32\lsass.exe
C:\D\WINNT\system32\Ati2evxx.exe
C:\D\WINNT\system32\svchost.exe
C:\D\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\D\WINNT\System32\svchost.exe
C:\D\WINNT\system32\regsvc.exe
C:\D\WINNT\system32\MSTask.exe
C:\D\WINNT\system32\stisvc.exe
C:\D\WINNT\System32\WBEM\WinMgmt.exe
C:\D\WINNT\System32\MsPMSPSv.exe
C:\D\WINNT\system32\svchost.exe
C:\D\WINNT\system32\Ati2evxx.exe
C:\D\WINNT\SOUNDMAN.EXE
C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Program Files\PenDrive\shwicon.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
C:\Program Files\D-Tools\daemon.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\VIA\RAID\raid_tool.exe
D:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\D\WINNT\System32\ALERTM~1\ALERTM~1.EXE
C:\D\WINNT\system32\wuauclt.exe
C:\Program Files\SpyFalcon\SpyFalcon.exe
C:\D\WINNT\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Steve\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\D\WINNT\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [ShowIcon_The Company_Pen Drive Series Driver v1.17r022] "C:\Program Files\PenDrive\shwicon.exe" -t"The Company\Pen Drive Series Driver v1.17r022"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\D\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Anti-Blaxx Manager] D:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2462f1faa95f54cb8615/netzip/RdxIE601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: WRNotifier - C:\D\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\D\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\D\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\D\WINNT\System32\dmadmin.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\D\WINNT\System32\FTRTSVC.exe
0
Réponse 9 / 26
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut !

lignes à fixer : relance hijackthis et coche les cases en face de ces lignes:

O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2462f1faa95f54cb8615/netzip/RdxIE601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

ensuite refait la manip du poste 5 et dis nous où en sont tes soucis

bon courage @+
0
Réponse 10 / 26
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
juste pour info c est tu sur quelle site tu as choper ceci stp

et le smitfraudfix met le sur c et recommence l option2 en sans echec
0
Réponse 11 / 26
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut

SmitfraudFix a été mis a jour.
Utiliser la nouvelle version 2.22 à la même adresse:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

a+
0
Kristopher Messages postés 3752 Statut Contributeur 106
 
Bonjour S!Ri,

Cela fait plaisir de croiser le concepteur de SmitfraudFix en personne :)

Les infections évoluent... parallèlement à votre logiciel qui est mis à jour en contrepartie afin de pallier à cela.

Excellente fin d'après-midi à vous ;)
0
Réponse 12 / 26
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut Kristopher

Il avait un moment que l'infection n'avait pas évoluée.
Et cette dll: dxmpp.dll était trop connue pour que l'auteur de l'infection la garde plus longtemps...

Bonne chasse au virus !
a+
0
Réponse 13 / 26
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Bonjour S!RI !

de même que Kris : très heureuse de croiser l'auteur d'un prog au combien precieux !!!

je vais de ce pas le poster sur le forum de Regis !

merci pour l'annonce

bien à vous !

@+
0
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
 
Slt tous,

Trop tard Green...

Merci S!Ri !!

;-)
0
Kristopher Messages postés 3752 Statut Contributeur 106 > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
 
Hello les amis green et Séb,

L'important c'est d'avoir posté, peu importe la vitesse de réaction :D

Excellente fin d'après midi à vous également.

Laissons à présent balthazar se prononcer...
0
Réponse 14 / 26
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Re'

En relisant le rapport de balthazar, j'ai vu ce fichier: admparsel.dll.

Balthazar, tu peux poster ce fichier:
C:\D\WINNT\admparsel.dll

à cette adresse:
http://siri.urz.free.fr/upload/

a+
0
Réponse 15 / 26
balthazar
 
c'est fait :)
MD5: E12D2E174FFFD0ABFB5CD1418BA04BF4
est-ce que ce fichier peut etre porteur de mon virus ? j'ai lu que beaucoup de gens ont réglé leur probleme en supprimant dxmpp.dll mais ayant windows 2000 je n'ai pas ce fichier donc je suppose que c'est C:\D\WINNT\admparsel.dll ?
0
Réponse 16 / 26
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
ne suppr pas seulement la dll
sr a mis a jour le fix retelecharge le et passe les deux option et donne nous les rapports stp
0
Réponse 17 / 26
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut

Merci pour le fichier.
Fait ceci:
Ouvre le bloc note (notepad)
Copie colle le code suivant dans notepad.
Sauvegarde sous clean.reg sur ton bureau
Au moment de sauvegarder, selectionne: type : tous les fichiers
Quitte notepad,
Double Click sur clean.reg
A la question fusionner avec le registre, accepte.

Enfin supprime le fichier
C:\D\WINNT\admparsel.dll 

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}]

[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}"=-


a+
0
Réponse 18 / 26
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut sr tu la pas integre au fix??
0
Réponse 19 / 26
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut,

non, je ne l'ai pas retrouvée sur d'autres infections DesktopHijack.
Elle ne fait qu'ouvrir des pages publicitaires.
Mais je la garde sous le coude si je la retrouve sur d'autres log/infections.

a+
0
Réponse 20 / 26
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki merci
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses