[Virus Infecté par SpyFalcon

marronsuisse Messages postés 13 Statut Membre -  
marronsuisse Messages postés 13 Statut Membre -
Bonjour.
Mon ordinateur est infecté et notamment le programme SpyFalcon s'execute automatiquement. J'ai scanné plusieurs fois l'ordinateur à l'aide de Avast et Spysweeper, mais rien à faire, ils n'arrivent pas à déloger ce programme pour bien longtemps car celui-ci se réinstalle automatiquement au démarrage de Windows.
Savez-vous ce qu'il faut fair pour éradiquer définitivement ce programme qui ralentit considérablement ma vitesse de connexion ?
Merci d'avance et bonne journée.

3 réponses

  1. marronsuisse Messages postés 13 Statut Membre
     
    Bon j'ai passé SpyBot, je crois qu'il a réussi à virer SpyFalcon.
    Mais entre temps j'ai remarqué que j'étais aussi infecté par un certain SpyAxe. J'ai donc suivi la procédure décrite ici : http://www.commentcamarche.net/faq/sujet-2964-virus-your-computer-is-infected

    Et voici le premier rapport de SmitfraudFix :

    SmitFraudFix v2.23

    Rapport fait à 10:57:30,04 le 07/03/2006
    Executé à partir de C:\Documents and Settings\Franz\Bureau\desinfection\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\dfrgsrv.exe PRESENT !
    C:\WINDOWS\system32\ginuerep.dll PRESENT !
    C:\WINDOWS\system32\ld????.tmp PRESENT !
    C:\WINDOWS\system32\ot.ico PRESENT !
    C:\WINDOWS\system32\1024\ PRESENT!

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    C:\Documents and Settings\Franz\Menu Démarrer\SpyFalcon 2.0.lnk PRESENT !
    C:\Documents and Settings\Franz\Menu Démarrer\Programmes\SpyFalcon PRESENT !

    C:\Documents and Settings\Franz\Favoris\Antivirus Test Online.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

    [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

    [HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINDOWS\system32\ginuerep.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINDOWS\system32\ginuerep.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  2. marronsuisse Messages postés 13 Statut Membre
     
    Et voici le rapport aprs avoir executé la procédure :

    SmitFraudFix v2.23

    Rapport fait à 11:13:07,59 le 07/03/2006
    Executé à partir de C:\Documents and Settings\Franz\Bureau\desinfection\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

    [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Ca me semble correct, un utilisateur averti pourrait-il me donner son avis ? :p
    Merci.
    0
  3. Utilisateur anonyme
     
    salut marronsuisse

    smitfraud a fait du menage ,cependant smit. ne voit pas tout .
    pour confirmer l absence d infection envoie 1 rapport hijackthis

    - Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
    - Installe le dans son propre dossier.
    Par exemple, C:\HijackThis
    Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
    Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

    a+
    0
    1. marronsuisse Messages postés 13 Statut Membre
       
      Ok je vais essayer ca ce soir.
      A priori c'est bon car je n'ai pas detecté de fonctionnement anormal.
      Merci pour le conseil.
      0