[Virus] Your computer is infectedRésolu/Fermé

Question

Bonjour

Je me suis retrouvé hier avec une icone indésirable à droite de la barre des tâches (fauteuil roulant vert/rond rouge barré) générant a intervalles réguliers une fenètre intitulée "Your computer is infected"

Internet explorer lancait à la place de ma page de démarrage une publicité pour des programmes anti spyware (dont spyfalcon). Des pop up sur le même thème (ainsi que des pubs de casinos et de sites de rencontre) apparaissaient spontanément. Des icônes de (pseudo ?) programmes anti spyware s'installaient toutes seules sur le bureau.

J'ai utilisé mon antivirus (pc cilin), microsoft antispyware, ad aware, spybot en vain.

J'ai ensuite consulté vos forum et mis en pratique la solution postée par Jeff (http://www.commentcamarche.net/faq/sujet-2964-virus-your-computer-is-infected) avec succès. Merci beaucoup pour votre aide.

Au cas ou cela pourrait vous être utile, je joins les 2 raports de smitfraudFix, celui d'avant nettoyage et celui d'aprés.

Avant nettoyage :

SmitFraudFix v2.43

Rapport fait à 12:19:16,45, 14/05/2006
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\appmagr.dll PRESENT !
C:\WINDOWS\system32\atmclk.exe PRESENT !
C:\WINDOWS\system32\dcomcfg.exe PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\simpole.tlb PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{64ba30a2-811a-4597-b0af-d551128be340}"="AppManager"

[HKEY_CLASSES_ROOT\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
@="C:\WINDOWS\system32\appmagr.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
@="C:\WINDOWS\system32\appmagr.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Après nettoyage

SmitFraudFix v2.43

Rapport fait à 12:42:52,60, 14/05/2006
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je dois préciser que j'ai oublié de procéder à l'étape 3 (Désactiver la restauration du système) mais que le nettoyage semble avoir fonctionné malgré tout.

Merci encore.

Greg.

Utilisateur anonyme · Answer

Salut,

télécharges hijackthis:
Téléchargement de HijackThis

Installe le dans son propre dossier:
-cliques droit sur le bureau, nouveau dossier, installes-le dedans.
Lance le, cliques sur "do a system scan and save logfile"
Puis copies et colles le rapport ici.

Greg · Answer

Voila

Ewido a trouvé 26 fichiers suspects...
J'ai tout supprimé (avec sauvegarde en quarantaine) sauf l'un d'eux qui semble avoir rapport avec google.

C'est dingue quand même. Ca fait deux ans que je fais des scans réguliers avec le microsoft antispyware et ce matin ad aware a recensé une centaine de fichiers infectés, aprés quoi spybot en a trouvé une quinzaine d'autres, puis smitfraud en a relevé une dizaine et maintenant ewido en trouve 25 autres...

N'existe-t-il pas des logiciels suffisamment complets pour éviter d'avoir a en utiliser 5 ou 6 différents ?

Bon voila le log d'Ewido

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:34:21, 14/05/2006
+ Somme de contrôle: 43D0E3EA

+ Résultats du scan:

:mozilla.52:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Googleadservices : Ignoré
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CCAR -> Adware.CometCursor : Nettoyer et sauvegarder
:mozilla.6:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
:mozilla.7:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
:mozilla.8:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
:mozilla.10:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.11:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.13:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
:mozilla.15:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.16:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.17:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.35:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.36:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.37:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.38:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
:mozilla.42:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.51:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\inu4bf77.default\cookies.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\armltpqa\afbpotdcee\sscsrfnom.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\armltpqa\reepmelr\fmcurepf.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\WINDOWS\snbho.exe -> Trojan.Imiserv.c : Nettoyer et sauvegarder
C:\WINDOWS\system32\25yf19fg.exe -> Dropper.Small.sc : Nettoyer et sauvegarder
C:\WINDOWS\system32\ShellExt\RS.EXE.EXE -> Trojan.Delf.bj : Nettoyer et sauvegarder

::Fin du rapport

Et merci encore pour l'aide apportée. 8)

Greg

Greg · Answer

Voila le log du scan de Bitdefender.

BitDefender Online Scanner - Real Time Virus Report

Generated at: Sun, May 14, 2006 - 18:10:23

--------------------------------------------------------------------------------

Scan Info

Scanned Files
351038

Infected Files
117

Virus Detected

Trojan.Java.Classloader.Dummy.A
3

Java.Trojan.Exploit.Bytverify.C
4

Trojan.Downloader.Wintrim.BF
2

Trojan.Dropper.Small.GT
1

Trojan.Dropper.Small.NJ
12

Trojan.Java.Classloader.B
3

Trojandownloader.Small.J
1

Trojan.Exploit.Winamp.D
1

Java.Trojan.Exploit.Bytverify
12

Trojan.StartPage.NK
29

Trojan.Wintrim.AE
2

Trojan.Agent.AY
2

Java.Trojan.Exploit.Bytverify.H
2

Trojan.Downloader.VB.GL
2

Trojan.Java.Classloader.F
1

Java.Trojan.Exploit.Bytverify2.Gen
2

Trojan.Dloader.N
3

Java.Trojan.ClassLoader.F
3

Trojan.Downloader.Wintrim.AM
2

Trojan.Ribdew.C.DLL
2

Exploit.Win32.WMF-PFV.A
1

Java.Trojan.OpenConnection.F
2

Trojan.Startpage.NK
2

Trojan.Downloader.Wintrim.L
2

Trojan.Java.ClassLoader.Dummy.C
3

Trojan.Exploit.Java.Bytverify
7

Java.Trojan.ClassLoader.K
2

Java.Trojan.ClassLoader.AI
1

Trojan.Java.ClassLoader.D
4

Trojan.Delf.BJ
1

BehavesLike:Win32.ExplorerHijack
1

Win32.Netsky.P@mm
1

Trojan.PSW.Logmod.B
1

--------------------------------------------------------------------------------

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

A noter qu'une bonne partie des virus de cette liste étaient dans le dossier de quarantaine de mon antivirus (pc cilin)
Pas tous cependant... ce qui signifie que malgré la mise à jour quotidienne, pc-cilin en avait oublié un certain nombre.

Merci à nouveau pour l'aide.

Greg.

Greg · Answer

Voila j'ai suivi toutes les instructions et mon ordinateur fonctionne toujours. 8)
Il n'a probablement jamais été aussi "propre" depuis que je l'ai utilisé pour la première fois.

J'ai donc créé un nouveau point de restauration du système, "propre" à priori.

Merci beaucoup pour l'aide Boulepate 62.
Bonne soirée. 8)

Greg.

[Virus] Your computer is infected

4 réponses

Discussions similaires

Newsletters