Sujet Précédent Sujet Suivant

Spyware infection!

ninouch Messages postés 10 Statut Membre -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
BOnjour,jaurai besoin d'aide j'ai recu un message d'alerte spyware infection ainsi que spywaresherriff et mon fond d'écran était noir,depuis j'ai téléchargé aol spyware protection et j'ai pu bloquer les spywares.Pouvez vous me dire si il n'y a alors plus de risque?de plus je ne peu toujours pas changer de fond d'écran que dois je faire?
Merci
A voir également:

18 réponses

Réponse 1 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Fais ceci ;-)

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+
0
Réponse 2 / 18
ninouch Messages postés 10 Statut Membre
 
Merci pour laide!VOila le rapport 1

SmitFraudFix v2.70

Rapport fait à 20:12:52,02, 16/07/2006
Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !
C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne\Application Data

C:\Documents and Settings\Anne\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Anne\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 3 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Continue la procédure:

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+
0
Réponse 4 / 18
ninouch Messages postés 10 Statut Membre
 
j'ai suivi les instructions!VOila le rapport!

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé
C:\uniq supprimé
C:\Documents and Settings\Anne\Application Data\Install.dat supprimé
C:\Program Files\secure32.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

remet l option 1 stp

a+
0
Réponse 6 / 18
ninouch Messages postés 10 Statut Membre
 
ok merci pour laide!jfai ca rapidement!
biz
0
Réponse 7 / 18
ninouch Messages postés 10 Statut Membre
 
voila:

SmitFraudFix v2.70

Rapport fait à 13:39:18,65, 17/07/2006
Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Anne\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\WINDOWS\System32\2236_27.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 8 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Tu as peut etre une nouvelle infection intéressante sur ton ordinateur.

1. -> S!Ri -remontée des fichiers (*). http://siri.urz.free.fr/upload/

Recherche ceci:
C:\WINDOWS\System32\2236_27.dll

Et indique le lien du poste c est celui ci:
spyware infection#2006 07 17%2013%3A40%3A25

2. -> SimplyTech-Adware-Upload (*) http://www.simplytech.it/public/upload/

(*) Si tu as besoin d'un programme gratuit pour zipper avant d'uploader : SIMPLYZIP.
http://www.paehl.de/german.php

Les données qu'on ne peut pas uploader doivent alors être zippées.

Reviens nous dire si l'upload vers les 2 URL a bien fonctionné.

Puis, Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
C:\WINDOWS\System32\2236_27.dll
Clik send et colle le rapport stp

A+
0
Réponse 9 / 18
ninouch Messages postés 10 Statut Membre
 
J'ai fai comme tu m'as di!jcrois ke les 2url ont bien fonctionnés!
pour ce que tu m'as di de faire apré jtenvoi le rapport:

STATUS: FINISHEDComplete scanning result of "2236_27.dll", received in VirusTotal at 07.17.2006, 14:18:52 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.17.2006 BDS/Agent.adr
Authentium 4.93.8 07.14.2006 no virus found
Avast 4.7.844.0 07.14.2006 no virus found
AVG 386 07.14.2006 no virus found
BitDefender 7.2 07.17.2006 Backdoor.Agent.QK
CAT-QuickHeal 8.00 07.13.2006 no virus found
ClamAV devel-20060426 07.15.2006 no virus found
DrWeb 4.33 07.17.2006 BackDoor.Dsrv
eTrust-InoculateIT 23.72.70 07.16.2006 no virus found
eTrust-Vet 12.6.2298 07.17.2006 no virus found
Ewido 4.0 07.17.2006 Backdoor.Agent.adr
Fortinet 2.77.0.0 07.16.2006 Spam_DComServ!tr
F-Prot 3.16f 07.14.2006 no virus found
F-Prot4 4.2.1.29 07.14.2006 no virus found
Ikarus 0.2.65.0 07.17.2006 no virus found
Kaspersky 4.0.2.24 07.17.2006 Backdoor.Win32.Agent.adr
McAfee 4807 07.14.2006 Spam-DComServ
Microsoft 1.1508 07.17.2006 no virus found
NOD32v2 1.1663 07.16.2006 no virus found
Norman 5.90.23 07.17.2006 no virus found
Panda 9.0.0.4 07.16.2006 no virus found
Sophos 4.07.0 07.17.2006 no virus found
Symantec 8.0 07.17.2006 no virus found
TheHacker 5.9.8.176 07.17.2006 no virus found
UNA 1.83 07.14.2006 Backdoor.Agent
VBA32 3.11.0 07.17.2006 Backdoor.Win32.Agent.adr
VirusBuster 4.3.7:9 07.16.2006 no virus found

Aditional Information
File size: 152576 bytes
MD5: 3e5c6f504e040988554915ec4597c4d8
SHA1: 1ea83f96a78ac782a8665b68d65ec40c63511271
packers: UPX
0
Réponse 10 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
D'accord, merci !
Le fichier est parti en analyse mais je pense qu il ne sera pas intégré au fix.

télécharge HijackThis ici:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Réponse 11 / 18
ninouch Messages postés 10 Statut Membre
 
Encore merci pour laide!voila le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 14:44:41, on 17/07/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\inet20002\winlogon.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Canon\MultiPASS4\MPTBox.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rpcc.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\AOL Compagnon\companion.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\AOL\1153042476\ee\AOLHostManager.exe
C:\Program Files\Fichiers communs\AOL\1153042476\ee\AOLServiceHost.exe
c:\program files\fichiers communs\aol\1153042476\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1153042476\ee\AOLServiceHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\inet20002\mm5.exe
C:\WINDOWS\inet20002\killer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\System32\dllcache\IExplore.exe
C:\WINDOWS\inet20002\mm5.exe
C:\WINDOWS\inet20002\killer.exe
C:\WINDOWS\inet20002\socks.exe
C:\Documents and Settings\Anne\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=76420697312543738FC7AC1F1CA1CB9B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: run=C:\WINDOWS\inet20002\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20002\socks.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [?p_s?stem] C:\WINDOWS\inet20002\winlogon.e?e
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1153042476\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20002\winlogon.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Documents and Settings\All Users\Application Data\AOL\UserProfiles\All Users\antiSpyware\dat\ppclean.exe" "clean" "silent" "cws" "2"
O4 - HKLM\..\RunOnce: [PPClean Remove at boot] command nul /c C:\PPCleanDeleteAtReboot.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [?p_s?stem] C:\WINDOWS\inet20002\winlogon.e?e
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20002\winlogon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\foo.mht!http://69.61.59.117//random//999999.chm::/999999.exe
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} (WildTangent Active Launcher) - https://www.wildtangent.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://tiragesphoto.fnac.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AA0962A-0E8F-48F5-8643-0B304A8CED8A}: NameServer = 205.188.146.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: yvsvga - C:\WINDOWS\SYSTEM32\yvsvga.dll
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\System32\2236_27.dll
O21 - SSODL: tdChP - {FCE6AFB6-564C-051C-1D3F-8F4CC8095AAD} - C:\WINDOWS\System32\pfm.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\WINDOWS\.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
0
Réponse 12 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Wahou, tu es ENORMEMENT infecté !

Normal, quel est ton antivirus, ou est il?

Télécharge la version d'évaluation d'Ewido:
https://www.avg.com/en-ww/homepage

Installe et mets à jour.

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

Redémarre en mode Sans Échec (au démarrage, tapote immédiatement la touche F8, puis tu verras un écran avec choix de démarrages : choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur). Relance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarre en mode normal.
0
Réponse 13 / 18
ninouch Messages postés 10 Statut Membre
 
Pas trés rassurant!EN fait j'ai deja du plusieur fois reformater mon disque dur et jcrois ke jai plus dantivirus!Je fais ce que tu me dis!
a+
0
Réponse 14 / 18
ninouch Messages postés 10 Statut Membre
 
voila le rapport!a+

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 15:42:11 18/07/2006

+ Scan result:

HKLM\SOFTWARE\Classes\Softomate.IEToolbar -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Softomate.IEToolbar.1 -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Softomate.IEToolbar\CLSID -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Softomate.IEToolbar\CurVer -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKU\S-1-5-21-1606980848-1897051121-839522115-1005\Software\Microsoft\Internet Explorer\Keywords -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\3.02.00.dll -> Adware.Ihbo : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\3.02.04.dll -> Adware.Ihbo : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\3.03.00.dll -> Adware.Ihbo : Cleaned with backup (quarantined).
C:\Documents and Settings\Anne\Local Settings\Temp\W01083060Z\9036.tmp -> Backdoor.Agent.adr : Cleaned with backup (quarantined).
C:\WINDOWS\system32\2236_27.dll -> Backdoor.Agent.adr : Cleaned with backup (quarantined).
C:\Documents and Settings\Anne\Application Data\winantiviruspro2006freeinstall_fr[1].exe -> Downloader.Agent.alr : Cleaned with backup (quarantined).
C:\Documents and Settings\Anne\Bureau\WinAntiVirusPro2006FreeInstall_fr.exe -> Downloader.Agent.alr : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\services.exe -> Downloader.CWS.s : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\winlogon.exe -> Downloader.CWS.s : Cleaned with backup (quarantined).
C:\ujxxw.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Ignored.
C:\Program Files\vshwwi.exe -> Not-A-Virus.Hoax.Win32.Renos.dc : Ignored.
C:\Documents and Settings\Anne\Local Settings\Temp\fc5e5bc9.exe -> Proxy.Agent.df : Cleaned with backup (quarantined).
C:\WINDOWS\system32\pfm.dll -> Proxy.Agent.df : Cleaned with backup (quarantined).
C:\Documents and Settings\Anne\Local Settings\Temp\W01083060Z\1876.tmp -> Proxy.Delf.an : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\mm5.exe -> Proxy.Delf.an : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\mm5.exe.bak -> Proxy.Delf.an : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\mm6.exe -> Proxy.Delf.an : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\mm6.exe.bak -> Proxy.Delf.an : Cleaned with backup (quarantined).
C:\WINDOWS\system32\rpcc.exe -> Proxy.Dlena.g : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\select.exe.bak -> Proxy.Small : Cleaned with backup (quarantined).
C:\WINDOWS\inet20002\socks.exe.bak -> Proxy.Small.bt : Cleaned with backup (quarantined).
C:\Documents and Settings\Math\Cookies\math@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Math\Cookies\math@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Math\Cookies\math@casalemedia[2].txt -> TrackingCookie.Casalemedia : Cleaned.
C:\Documents and Settings\Math\Cookies\math@com[1].txt -> TrackingCookie.Com : Cleaned.
C:\Documents and Settings\Math\Cookies\math@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.
C:\Documents and Settings\Math\Cookies\math@as1.falkag[1].txt -> TrackingCookie.Falkag : Cleaned.
C:\Documents and Settings\Math\Cookies\math@fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.
C:\Documents and Settings\Math\Cookies\math@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.
C:\Documents and Settings\Math\Cookies\math@ads1.revenue[1].txt -> TrackingCookie.Revenue : Cleaned.
C:\Documents and Settings\Math\Cookies\math@revenue[2].txt -> TrackingCookie.Revenue : Cleaned.
C:\Documents and Settings\Math\Cookies\math@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.
C:\Documents and Settings\Math\Cookies\math@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.
C:\Documents and Settings\Math\Cookies\math@zedo[2].txt -> TrackingCookie.Zedo : Cleaned.
C:\Documents and Settings\Anne\Local Settings\Temp\NI.UWA6PV_0001_N86M0507\setup.exe -> Trojan.Fakealert : Cleaned with backup (quarantined).
C:\wxufle.exe -> Trojan.ProcKill.DJ : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.ae : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Trojan.Sinowal.ae : Cleaned with backup (quarantined).
C:\ljyue.exe -> Trojan.Sinowal.ae : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe -> Trojan.Sinowal.v : Cleaned with backup (quarantined).
C:\ssrkt.exe -> Trojan.Small : Cleaned with backup (quarantined).

::Report end
0
Réponse 15 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Cest beaucoup mieux !

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
0
Réponse 16 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Fais ceci d abord stp !
Tu pourrais nous aider a avancer dans notre lutte :-)
Tu veux bien nous aider et participer?

Suffit de faire ceci:

1. -> S!Ri -remontée des fichiers (*). http://siri.urz.free.fr/upload/

2. -> SimplyTech-Adware-Upload (*) http://www.simplytech.it/public/upload/

Clik sur le 1er site, indique le lien du forum qui est celui ci:
trojan tr drop small xl#2006 07 18%2018%3A56%3A55

Puis recherche un a un ceci:(puis upload les)

C:\ujxxw.exe
C:\Program Files\vshwwi.exe

(*) Si tu as besoin d'un programme gratuit pour zipper avant d'uploader : SIMPLYZIP.
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,22038669s,00.htm
Les données qu'on ne peut pas uploader doivent alors être zippées.

Reviens nous dire si l'upload vers les 2 URL a bien fonctionné.
0
Réponse 17 / 18
ninouch Messages postés 10 Statut Membre
 
dsl pour cette reponse tardive j'étais parti en we!Merci pour ton aide precieuse mon ordi lutte deja moins!Je fais ce ke tu mas demandé ce soir car la je dois sortir!
a+
0
Réponse 18 / 18
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Pas de soucis ;-)

Previens moi quand tu auras fais cela !

Bonne soiree
0

Discussions similaires

Grosse infection de spyware
sevete60 -
sevete60 -

13 réponses