[Virus] Infecté par spy sheriff - HELP Résolu

Question

Bonjour, malgré de nombreuses lectures au sujet de Spy sheriff je ne m'en sorts pas.
J'ai effectué les opérations suivantes :
- Désactivé le service d'affichage des messages
- Désactivé la restauration système
- Téléchargé et installé SmitfraudFix et Hoster
- Créé le rapport SmitfraudFix soit :
----------------------------------------------------------------------------
SmitFraudFix v2.27

Rapport fait à 23:25:44,94, 03/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------
puis j'ai Redémarré en mode sans échec
- J'ai lancé Hoster (restore original hosts)
- J'ai ensuite lancé SmitfraudFix (option 2 nettoyer)
ce qui a donné le rapport suivant :
----------------------------------------------------------------------------
SmitFraudFix v2.27

Rapport fait à 23:31:57,98, 03/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------
J'ai ensuite redemarré en mode normal.
J'ai reactivé la restauration du système
J'ai lancé un nouveau rapport avec SmitfraudFix
J'ai lancé Avast - Easy cleaner - AD Aware et spybot - tout avais l'air bon
Je suis malheureusement victimes de multiples attaques recensées et bloquées par avast mais provoquant de multiples bugs. Lle dernier rapport donne ceci :
----------------------------------------------------------------------------
mitFraudFix v2.27

Rapport fait à 10:20:01,34, 04/04/2006
Executé à partir de C:\Spy sheriff\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylv\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------------------------------------------------------Si quelqu'un peut m'aider ce serait sympa parce que là moi je ne sais plus quoi faire. Grand merci d'avance

Afficher la suite

Kristopher · Answer

Bonjour,Pour commencer :https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etcBon courage.

aranjuez31 · Answer

bsr

en allant sur sites de Q sans capote,
tu prends des risques de contacter une 'mst'
c est fait - bravo
sutout en y téléchargeant, comme le montre ton rapport avec NueDouchka !

yen a qui prennent leur pied ainsi....ouarf
==================
ouvre hijack
commence à fixer lignes suivantes, de cette façon
(http://pageperso.aol.fr/balltrap34/demohijack.htm)

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {10000001-1001-1001-1000-000000000000} - file://C:\Program Files\Internet Explorer\jKrlhQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.sexequalite.com/39220/NueDouchka.exe

O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} - http://www.quikshield.com/qshsetup.exe
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f003.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
+
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
============
touche windows+r
tape 'services.msc' + OK
dans le déroulant, cherche
- 'Windows User Mode Drivers (WUMD)'
& désactive ce programme
========
ton rapport de bit defender ne ressemble à rien
inexploitable
à refaire aprèce qui suit
====================
4/ - regcleaner ( nettoyeur de registre)
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
Son tuto
http://www.softastuces.com/tuto/maint/regcleaner/index.php

en clair
menu en haut
outils+nettoyage dd+tout faire+
coche tt ce qu il trouve
supprimer ( cela est sauvegardé)
=================
5/ - cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Démo
http://pageperso.aol.fr/balltrap34/democleanup.htm
===============
profite d une nuit aussi pour faire une défragmentation en sans échec
pendant que tu roupilles
===========
désinfection non terminée

Kristopher · Answer

Hello

Les méthodes préliminaires effectuées (cf. message < 1 >), censées nettoyer le PC après les visites de o.sylv sur le sites de Q (cf. message de Aran), il faut maintenant oeuvrer de manière à guérir l'ordinateur de toutes les MST chopé...

o.sylv, commence par effectuer les prescriptions de l'ami Aran.

a+

o.sylv · Answer

SalutBon voilà j'ai craqué et j'ai formaté le PC puis tout reinstallé.Malheureusement et ceci depuis que j'ai etabli la connexion (de nombreux scan OK faits avant de brancher le PC au modem) :j'ai de nombreuses attaques de DCOM exploit et LSASS exploit comme avant. Bloquée par Avast mais ralentissant le PC.Lors du dernier scan Avast au demarrage celui a trouvé :C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP18\A0003631.sys est infecté par win32:sdbot-3267 [Trj]C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003690.sys est infecté par win32:sdbot-3267 [Trj]C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003693.sys est infecté par win32:sdbot-3267 [Trj]C:\system volume information\_restore{E794F230-8405-47F9-B0ED-43864 8DD71E7}\RP19\A0003700.sys est infecté par win32:sdbot-3267 [Trj]Avast trouve aussi C:\windows\system32driv.sysJe supprime tout, la suppression reussit mais je retrouve peu de temps après encore et encore le même sdbot-3267 et rdriv.sysAvast declenche sa fenêtre d'alerte quelque peu après en detectant rdivr.sys dans system 32.J'ai également fait un scan avec Stinger et celui ci trouve un fichier axdcfasb.exe dans windows et n'arrive pas à le supprimer.J'avais pourtant suivi toutes les précieuses instructions des réponses du forum mais rien n'a reussi. D'ou le formatage.Voilà un dernier rapport----------------------------------------------------------------------Logfile of HijackThis v1.99.1Scan saved at 23:40:50, on 10/04/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Autres\Avast Antivirus\aswUpdSv.exeC:\Program Autres\Avast Antivirus\ashServ.exeC:\WINDOWS\axdcfasb.exeC:\WINDOWS\system32\wumd.exeC:\Program Autres\Avast Antivirus\ashMaiSv.exeC:\Program Autres\Avast Antivirus\ashWebSv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RunDll32.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\PROGRA~2\AVASTA~1\ashDisp.exeC:\WINDOWS\System32\gjbtzatk.exeC:\WINDOWS\System32fifgmysv.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\system32
etbtd.exeC:\Program Files\Internet Explorer\IEXPLORE.EXED:\Programmes\Outils desinfection\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exeO4 - HKLM\..\Run: [WinFix service] gjbtzatk.exeO4 - HKLM\..\Run: [DRam prmaessor] mp2Ld.exeO4 - HKLM\..\Run: [DR service] rfifgmysv.exeO4 - HKLM\..\RunServices: [WinFix service] gjbtzatk.exeO4 - HKLM\..\RunServices: [DRam prmaessor] mp2Ld.exeO4 - HKLM\..\RunServices: [DR service] rfifgmysv.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe----------------------------------------------------------------------Merci d'avance - j'ai besoin d'aide !!!!!

aranjuez31 · Answer

hello

ahah ya de quoi se fendre la gueule
un formatage pour rien......
tu as suivi de droles de conseils........oui vraiment...

de tte façon tant que tu ne mettras pas un p-feu...
pas la peine de nettoyer pour recommencer 5 mn après

vas-tu accepter un vrai p-feu ??

à toi de voir !

o.sylv · Answer

SalutEn complément de mon dernier message je rajoute icile rapport de scan Ewido + rapport hijack faits dans la foulée--------------------------------------------------------- ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		00:20:28, 11/04/2006 + Somme de contrôle:	9B98D344 + Résultats du scan:	C:\Documents and Settings\Sylv\Cookies\sylv@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@wreport.weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Sylv\Cookies\sylv@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder	C:\WINDOWS\system32\jpisiikb.exe -> Backdoor.Rbot.ave : Nettoyer et sauvegarder::Fin du rapport---------------------------------------------------------Logfile of HijackThis v1.99.1Scan saved at 00:22:07, on 11/04/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Autres\Avast Antivirus\aswUpdSv.exeC:\Program Autres\Avast Antivirus\ashServ.exeC:\Program Autres\Ewido anti-malware\ewidoctrl.exeC:\Program Autres\Ewido anti-malware\ewidoguard.exeC:\WINDOWS\system32
etbtd.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RunDll32.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\PROGRA~2\AVASTA~1\ashDisp.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Autres\Avast Antivirus\ashMaiSv.exeC:\Program Autres\Avast Antivirus\ashWebSv.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeD:\Programmes\Outils desinfection\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)O23 - Service: ewido security suite control - ewido networks - C:\Program Autres\Ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Autres\Ewido anti-malware\ewidoguard.exeO23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exeO23 - Service: Windows User Mode Drivers (WUMD) - Unknown owner - C:\WINDOWS\system32\wumd.exe (file missing)---------------------------------------------------------------------------

aran · Answer

bjr un pare-feu ????https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.htmlhttps://kerio.probb.fr/

o.sylv · Answer

Bonsoir
J'ai suivi les conseils. J'avais créé un point de restauration juste avant l'installation de mon kit de connexion adsl. Je m'en suis servi, puis ai installé zone Alarm avant de reinstaller la connexion.
Resultat : Avast ne trouve plus de virus, le fonctionnement du PC n'est plus ralenti, la navigation Internet se fait sans problême.
Un seul souci : Zone alarm a depuis bloqué 718 intrusions dont 285 d'un niveau élévé et ces chiffres ne cessent d'augmenter.
C'est quoi le truc qui les attire ?
Voici mon dernier rapport hijack. J'aimerai bien savoir ce qu'il faut fixer. SVP après je vous embête plus. Merci.

--------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 19:59:43, on 12/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Autres\Avast Antivirus\aswUpdSv.exe
C:\Program Autres\Avast Antivirus\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Autres\Avast Antivirus\ashWebSv.exe
C:\Program Autres\Avast Antivirus\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\AVASTA~1\ashDisp.exe
C:\Program Autres\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Programmes\Outils desinfection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Autres\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Autres\Avast Antivirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Autres\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Autres\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
----------------------------------------------------------------------------

Kristopher · Answer

Salut,

Ton log semble correct à présent.

Pour vérifier :

1/ Scanne ton PC avec cet antivirus en ligne :
https://www.kaspersky.fr/downloads
- Choisis "Kaspersky Online Scanner"
- Clique sur "Accept" -> "Next" -> "My computer"
- Laisse le scan se faire et copie/colle le rapport ici (si infecté)

2/ Scanne ton PC avec cet antispyware en ligne :
https://www.trendmicro.com/en_us/forHome/products/housecall.html

Dis moi concrètement ce que l'antispyware en ligne te trouves comme malwares.

Courage, Kristopher.

++

o.sylv · Answer

Salut Kristo Salut AranQue dois je faire maintenant apres les scan Kaspersky et trend micro ? Merci

aranjuez31 · Answer

hello

8/ - * System volume information

Si à la suite d'analyse, l'infection se situe dans :

C:\system volume information\_Restore....

Cela signifie que c'est un point de restauration qui est infecté (à savoir que l'infection est inactive). Pour résoudre le souci :

¤Désactive la restauration système (uniquement si tu es sous XP):
Cliquer droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
Cocher la case « désactiver la restauration » et applique.

Puis,

¤Réactiver la restauration système (uniquement si tu es sous XP):
Cliquer droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
Décocher la case « désactiver la restauration » et applique.

Pour Windows Me :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830091...

o.sylv · Answer

Merci Aran j'ai fait ce que tu as dit les fichiers RESTORE ont disparus. Que dois je faire pour le reste ? Merci------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Friday, April 14, 2006 2:12:20 PM Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 14/04/2006 Kaspersky Anti-Virus database records: 176727-------------------------------------------------------------------------------Scan Settings:	Scan using the following antivirus database: standard	Scan Archives: true	Scan Mail Bases: trueScan Target - My Computer:	A:\	C:\	D:\	E:\	F:\	G:\	H:\Scan Statistics:	Total number of scanned objects: 21431	Number of viruses found: 2	Number of infected objects: 3	Number of suspicious objects: 0	Duration of the scan process: 00:22:29Infected Object Name / Virus Name / Last ActionC:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\9XRULYRY
ewld[1].exe	Infected: Trojan-Downloader.Win32.Harnig.bg	skippedC:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPHN76D7\loadadv691[1].exe	Infected: Trojan-Downloader.Win32.Harnig.bg	skippedC:\WINDOWS\system32\i	Infected: Trojan-Downloader.BAT.Ftp.ab	skippedScan process completed.

Kristopher · Answer

Hello

Ton PC sera clean après ceci :

1/ Télécharge et nettoie ton PC avec ces deux logiciels :

CCLEANER https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Utilisation : Dans l'onglet "Nettoyeur" cliquez sur "Analyse". Une fois l'analyse terminée, cliquez sur "Lancer le Nettoyage".
Ensuite, dans l'onglet "Erreurs" cliquez sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuez une sauvegarde de votre registre (comme proposé).

CleanUp40
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Démo d’utilisation :
http://pageperso.aol.fr/balltrap34/democleanup.htm

2/ Efface le fichier (en gras) :

C:\WINDOWS\system32\i

Au fait, y'a pas de kristo ici, moi c'est Kristopher ;)

bye bye...

o.sylv · Answer

Merci Kristopher et Aran.Vous êtes des cracks (cheval de course pour Aran)Votre aide m'a été précieuse.Bravo pour votre efficacité et la rapidité des réponses.Sylv

Kristopher · Answer

yo

T'inquiètes o.sylv moi et l'ami Aran on gère ;)

Fais gaffe quand tu surf, ne va pas sur des sites XXX sans capote (cf. message < 3 >) et évite les autres sites sensibles.

N'oublie pas de télécharger et scanner ton PC avec les deux logiciels cités plus haut ;)

Bon bah bon courage et bon surf ^^

++

Kristopher · Answer

Ok les gars, on peut on finir là je pense ;)Bonne soirée à vous tous !++

[Virus] Infecté par spy sheriff - HELP

16 réponses

Votre réponse

Discussions similaires

Newsletters