Infecté par spyfalcon

Résolu
fegu33 -  
 fegu33 -
Bonjour,

je ne suis pas le seul visiblement à être attaqué par ce genre de bêbêtes, quelquepart ça me rassure mais enfin j'aimerais bien m'en débarasser.

je viens de télécharger zonealarm, hijackthis...

que dois-je faire maintenant pour terrasser l'animal ?

désolé, j'ai besoin d'être guidé car novice en matière de chasse aux virus...

merci de votre réponse
fegu

12 réponses

  1. did71
     
    colle un log hijackthis
    0
    1. fegu33
       
      voilà mon log hijackthis :


      Logfile of HijackThis v1.99.1
      Scan saved at 08:52:50, on 17/05/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
      c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
      c:\APPS\Powercinema\Kernel\TV\CLSched.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\Program Files\Grisoft\AVG Free\avgcc.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Franck EGUISIER\Bureau\HijackThis.exe

      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello
    ========
    ton log paraît clean
    ==========
    fais ceci :
    Télécharger ceci (merci a S!RI pour ce petit programme) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
    Choisir l’option 1, il va générer un rapport
    Copier-coller ce dernier dans un message sur le forum.
    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    0
    1. fegu33
       
      ok j'essaie tout de suite
      @+
      0
  3. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    puis cela
    3/ - Ewido (download)- gratuit même après 14 jours d’essai
    http://perso.wanadoo.fr/entraide-hijackthis/Ewido/
    Copie/COLLE le rapport généré sur ce forum

    0
    1. fegu33
       
      voici le rapport smitfraudfix
      0
    2. fegu33 Messages postés 26 Statut Membre
       
      SmitFraudFix v2.44

      Rapport fait à 17:15:00,00, 17/05/2006
      Executé à partir de C:\Documents and Settings\Franck EGUISIER\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

      C:\WINDOWS\system32\appmagr.dll PRESENT !
      C:\WINDOWS\system32\dcomcfg.exe PRESENT !
      C:\WINDOWS\system32\ld????.tmp PRESENT !
      C:\WINDOWS\system32\ot.ico PRESENT !
      C:\WINDOWS\system32\simpole.tlb PRESENT !
      C:\WINDOWS\system32\stdole3.tlb PRESENT !
      C:\WINDOWS\system32\ts.ico PRESENT !
      C:\WINDOWS\system32\1024\ PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Franck EGUISIER\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FRANCK~1\Favoris

      C:\DOCUME~1\FRANCK~1\Favoris\Antivirus Test Online.url PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{64ba30a2-811a-4597-b0af-d551128be340}"="AppManager"

      [HKEY_CLASSES_ROOT\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
      @="C:\WINDOWS\system32\appmagr.dll"

      [HKEY_CURRENT_USER\Software\Classes\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
      @="C:\WINDOWS\system32\appmagr.dll"


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
    3. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430 > fegu33
       
      voici le rapport smitfraudfix


      OU ?
      0
    4. fegu33 Messages postés 26 Statut Membre > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
       
      avec ewido je scanne tout le disque (c'est long, c'est normal ?)
      0
    5. fegu33 Messages postés 26 Statut Membre > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
       
      rapport de exido :

      ---------------------------------------------------------
      ewido anti-malware - Rapport de scan
      ---------------------------------------------------------

      + Créé le: 17:31:01, 17/05/2006
      + Somme de contrôle: E119B84B

      + Résultats du scan:

      HKLM\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyer et sauvegarder
      HKLM\SOFTWARE\Classes\Interface\{06CA2DA3-3A44-4FC7-8FD9-246C0F53407C} -> Adware.CoolWebSearch : Nettoyer et sauvegarder
      HKU\S-1-5-21-595600722-2773208518-1829335713-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyer et sauvegarder


      ::Fin du rapport


      et maintenant ? je fais quoi ? :-) ausecours, le virus est toujours dans la barre des tâches !!!!
      fegu33
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Fais la manip au <5> avec Bitdefender dites par "aranjuez" colles le rapport, et dis nous ou en sont tes problèmes .

    A+
    0
  6. fegu33 Messages postés 26 Statut Membre
     
    mais en fait ça y est j'ai l'impression qu'il n'y a plus de problème
    de plus bitdefender + zonealarm + ewido ca va faire beaucoup non ?
    que penses-tu du rapport que j'ai collé dans le message n° 16 ?
    @suivre
    0
  7. fegu33
     
    en fait j'ai scan avec bitdefender
    voilà le rapport :

    BitDefender Online Scanner

    Rapport d'analyse généré à: Wed, May 17, 2006 - 19:15:18

    Voie d'analyse: C:\;D:\;E:\;G:\;H:\;I:\;J:\;

    Statistiques

    Temps

    00:29:39

    Fichiers

    306840

    Directoires

    4997

    Secteurs de boot

    3

    Archives

    9953

    Paquets programmes

    15656

    Résultats

    Virus identifiés

    2

    Fichiers infectés

    4

    Fichiers suspects

    0

    Avertissements

    0

    Désinfectés

    0

    Fichiers effacés

    4

    Info sur les moteurs

    Définition virus

    375342

    Version des moteurs

    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Analyse des plugins

    13

    Archive des plugins

    40

    Unpack des plugins

    4

    E-mail plugins

    6

    Système plugins

    1

    Paramètres d'analyse

    Première action

    Désinfecté

    Seconde Action

    Supprimé

    Heuristique

    Oui

    Acceptez les avertissements

    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails

    Oui

    Analyse des Archives

    Oui

    Analyser paquets programmes

    Oui

    Analyse des fichiers

    Oui

    Analyse de boot

    Oui

    Fichier analysé

    Statut

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003843.exe

    Infecté par: BehavesLike:Win32.ExplorerHijack

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003843.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003843.exe

    Supprimé

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003844.exe

    Infecté par: Trojan.Downloader.Small.AQV

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003844.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP47\A0003844.exe

    Supprimé

    C:\WINDOWS\system32\atmclk.ex$

    Infecté par: Trojan.Downloader.Small.AQV

    C:\WINDOWS\system32\atmclk.ex$

    Echec de la désinfection

    C:\WINDOWS\system32\atmclk.ex$

    Supprimé

    C:\WINDOWS\system32\regperf.ex$

    Infecté par: BehavesLike:Win32.ExplorerHijack

    C:\WINDOWS\system32\regperf.ex$

    Echec de la désinfection

    C:\WINDOWS\system32\regperf.ex$

    Supprimé

    voilà
    est-ce que qqn peut me dire si là c'est bon ?
    merci pour votre aide
    @bientôt
    0
    1. Utilisateur anonyme
       
      Salut,

      peux tu refaire un rapport de l'option 2 avec SmitFraudFix et coller le rapport ici stp

      Alors ceci C:\System Volume Information\_restore indique que ta restauration du systeme est infecté.Nous allons Tout supprimer et créer un point propre.

      Cliques sur demarrer, cliques droit sur poste de travail, propriétés, onglet "restauration du systeme"
      -coches la case, puis cliques sur "appliquer"
      -decoches la case et cliques sur "appliquer" puis "ok".

      Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:

      Cliques sur demarrer, tout les programmes, accessoires, outils systemes, restauration du systeme, choisis "creer un point de restauration" nommes le " ccm" par exemple, cliques sur "creer" puis "ok".
      0
    2. fegu33
       
      voici le rapport demandé :

      SmitFraudFix v2.44

      Rapport fait à 22:54:05,01, 17/05/2006
      Executé à partir de C:\Documents and Settings\Franck EGUISIER\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin



      et maintenant ? :-)
      on est bon ?
      @+
      0
    3. Utilisateur anonyme > fegu33
       
      c'es bientot fini :-)


      Clique sur demarrer, panneau de configuration, connexions et reseau internet, dans l'onglet "general" tout en haut mets cette adresse: https://www.google.fr/?gws_rd=ssl puis clique sur "appliquer" puis "ok"


      Tu as quoi comme logiciels anti-spywares ?


      Puis remets un rapport hijackthis une fois que t uas fait ça
      0
    4. fegu33 > fegu33
       
      rapport hijackthis :

      Logfile of HijackThis v1.99.1
      Scan saved at 23:54:10, on 17/05/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
      c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
      c:\APPS\Powercinema\Kernel\TV\CLSched.exe
      C:\Program Files\ewido anti-malware\ewidoctrl.exe
      C:\Program Files\ewido anti-malware\ewidoguard.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\Program Files\Grisoft\AVG Free\avgcc.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Franck EGUISIER\Bureau\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
      O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

      je crois que je n'en ai pas ; j'ai zonealarm, avgfree, ewido
      alors :-) ?
      0
    5. Utilisateur anonyme > fegu33
       
      ok, en voici des gratuits scan ton Pc avec tous ceux là puis dit nous ce que ça donne ;-) (à scanner régulierement)

      SpyBot - Search & Destroy :
      Spybot Search & Destroy

      A² free:
      A² Squared

      Ad-Aware SE Personal:(en anglais)
      Ad-aware
      -Le patch pour le faire fonctionner Ad-Aware SE en français: Patch français pour Ad-aware

      spycatcher express free
      http://download.tenebril.com/pub/bin/spycatcher-express.exe

      Ewido:
      Ewido Security Suite

      0
  8. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello
    ts ces utilitaires ne chassent pas ds la même cour
    donc tu gardes
    et t'en sers au mini 1 f/sem

    inutile de garder les outils ciblés qui ont de fréquentes màj
    tels smitfraud et hijack
    0
  9. fegu33
     
    ok ben merci beaucoup
    ce long et difficile mais on y est arrivé
    au fait qui sont tous ces gens qui assistent sur ces forums ?
    0
  10. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    des helpers bénévoles, pas forcément informaticiens - mon cas - qui ont connu des blems viraux et appris à s'en sortir, se passionnant pour la chasse à la bébête, et comme il en sort chaque jour, l apprentissage est permanent
    0
  11. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    des helpers bénévoles, pas forcément informaticiens

    Ben voui !

    ;-)
    0
  12. fegu33
     
    ok ben merci beaucoup les gars
    et à la prochaine ;-) pour un nouveau désamiantage
    0