Infecté par RazeSpyware

Jibehem -  
incognito02 Messages postés 3487 Statut Contributeur -
Bonjour a tous,

je suis infecté depuis ce matin par un malware, RazeSpyware, et malgré désinfection et plusieurs passage d'anti spyware, il est toujours là, et je suis bien embété. Non seulement ce n'est pas beau, ( Carré noir sur fond rouge, ça ressemble à du Malevitch, mais ça fait plutôt bordel). En plus j'ai l'impréssion qu'il ralenti ma machine en utilisant de la resource CPU.

Merci de me venir en aide.

2 réponses

  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour,

    telecharge SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a toutes les questions.
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
    1. jibehem
       
      Salut,

      merci pour ta si prompte réponse de l'autre jour, je tiens à m'excuser, car je n'ai pas pu répondre avant, car ma live box m'a lachée.

      J'ai exécuter les differentres actions que tu m'as dictées, voici les rapports que j'ai obtenus :

      SmitFraudFix v2.47

      Rapport fait à 16:49:30,32, 25/05/2006
      Executé à partir de E:\Logiciels indispensables\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» D:\


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

      D:\WINDOWS\desktop.html PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Administrateur\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\ADMINI~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="D:\\WINDOWS\\desktop.html"
      "SubscribedURL"="D:\\WINDOWS\\desktop.html"
      "FriendlyName"="Security"


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin





      SmitFraudFix v2.47

      Rapport fait à 16:54:57,56, 25/05/2006
      Executé à partir de E:\Logiciels indispensables\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      D:\WINDOWS\desktop.html supprimé

      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin



      Logfile of HijackThis v1.99.1
      Scan saved at 17:09:27, on 25/05/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\Explorer.EXE
      D:\WINDOWS\system32\spoolsv.exe
      D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      D:\Program Files\Inventel\Gateway\wlancfg.exe
      D:\WINDOWS\RTHDCPL.EXE
      D:\Program Files\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE
      D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      D:\Program Files\Winamp\winampa.exe
      D:\Program Files\Shareaza\Shareaza.exe
      D:\Program Files\Skype\Phone\Skype.exe
      D:\Program Files\Internet Explorer\IEXPLORE.EXE
      D:\Chijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O1 - Hosts: localhost 127.0.0.1
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [RestoreIT!] "D:\Program Files\FarStone\RestoreIT\RestoreIT_XP\VBPTASK.EXE" VBStart
      O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
      O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
      O4 - HKCU\..\Run: [Shareaza] "D:\Program Files\Shareaza\Shareaza.exe" -tray
      O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://d:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O8 - Extra context menu item: Pages liées - res://d:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://d:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://d:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://d:\program files\google\GoogleToolbar2.dll/cmcache.html
      O17 - HKLM\System\CCS\Services\Tcpip\..\{637EEA51-F9F0-46CC-8D84-4E918344B4FC}: NameServer = 85.255.116.158,85.255.112.181
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7B1532D3-186E-4693-9FFE-5EA24C6B49E2}: NameServer = 85.255.116.158,85.255.112.181
      O17 - HKLM\System\CCS\Services\Tcpip\..\{96C7E49F-3C4D-451E-B5AD-3E3CE75229B1}: NameServer = 85.255.116.158,85.255.112.181
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - D:\Program Files\Inventel\Gateway\wlancfg.exe


      Je pense qu'ils te sont plus lisibles que moi.

      Bonne lecture donc.

      dois- exécuter autres chose?
      0
  2. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour,

    Dans un premier temps, fait déja tout cela :

    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancer)

    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip

    ***

    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***

    et aussi ceci

    (3) Ccleaner :
    Télécharge Ccleaner ici :
    https://www.ccleaner.com/ccleaner/download

    Tutorial ici:
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    (4) Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système.

    (5) Pour vérifier, scanne ton PC avec cet antivirus en ligne :
    https://www.bitdefender.com/toolbox/

    (6) Relance hijackthis et colle le log ici stp.

    Bon courage

    A+
    0