[Virus] Suppression de virus et spyware

Lalla -  
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Mon ordinateur rame énormément ces derniers temps sans compter qu'il fait n'importe quoi et après que mon antivirus securitoo est détecté IMFlooder sans réussir à le supprimer, j'ai téléchargé plusieurs antispyware qui ont détecté plusieurs autres problèmes. J'ai pu en éliminer quelques un mais il en reste encore beaucoup et les logiciels ewido et ad-aware ne peuvent pas faire un scan complet sans qu'un message d'erreur n'apparaisse et ne ferme le programme.

Apparemment en plus de IMFlooder, il y a downloader.Agent.uj, Dropper.Small, Trojan.Fakealert, downloader.Small.den, Adware.SBSoft, Dialer.InstantAcess.r ainsi qu'une multitude de tracking cookies...rien que ça :-(

Je ne sais pas comment faire pour m'en débarrasser puisque que l'un d'eux, je suppose bloque les scans des anti-spyware.

Voici le log de Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 20:45:24, on 22/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\dominique.principal\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5BC85A-62B6-49EC-80F4-5D38A90BB7FA}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAAF690B-D9DC-4207-85A4-90CB39074649}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3A97E8-5AA0-46D3-AB1E-9CC964E49694}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{D017657F-A608-4F99-813B-D97FE0CE0529}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C1275C-EBE3-4FBF-BB96-1ED8A709671B}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{E796DCF8-78FA-4EC5-9487-1A88FB357786}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF415BEE-300C-4235-83C2-74D90815FE43}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\..\{6C5BC85A-62B6-49EC-80F4-5D38A90BB7FA}: NameServer = 85.255.115.85,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Merci de votre aide

4 réponses

  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut,

    Commence par ça déjà, on verra le reste après :
    017 è NAME SERVER

    Télécharge Fixwareout à partir d'un des deux sites sur ton bureau :
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    Lance le fix : clique sur "Next" -> "Install" et assure toi que "Run fixit" est activé puis clique sur "Finish".
    Le fix va alors commencer - suis les messages à l'écran.
    Il te sera demandé de redémarrer ton ordinateur, fais le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.

    Quand ton système aura redémarré, suis les invites des messages. Ensuite, lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked":

    O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5BC85A-62B6-49EC-80F4-5D38A90BB7FA}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AAAF690B-D9DC-4207-85A4-90CB39074649}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3A97E8-5AA0-46D3-AB1E-9CC964E49694}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D017657F-A608-4F99-813B-D97FE0CE0529}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C1275C-EBE3-4FBF-BB96-1ED8A709671B}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E796DCF8-78FA-4EC5-9487-1A88FB357786}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EF415BEE-300C-4235-83C2-74D90815FE43}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236
    O17 - HKLM\System\CS1\Services\Tcpip\..\{6C5BC85A-62B6-49EC-80F4-5D38A90BB7FA}: NameServer = 85.255.115.85,85.255.112.236
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.85 85.255.112.236

    …/…

    À la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

    Au final, copie/colle le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis.

    0
  2. Lalla
     
    Salut,

    merci pour ta réponse.

    Voici ce que j'obtiens :

    Fixwareout ver 1.003
    Last edited 07/1/2006
    Post this report in the forums please

    Reg Entries that were deleted
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    Example ipsec6.exe is legitimate

    »»»»» Search by size and names...
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM

    »»»»» Misc files
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM

    »»»»» Checking for older varients covered by the Rem3 tool

    »»»»»
    Search five digit cs, dm and jb files
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM
    Other suspects
    Directory of C:\WINDOWS\system32
    {E0612B73-570A-4119-B137-BC3193400E8E}.exe
    {20167A26-D4CF-4A99-A338-59AF99537C77}.exe
    {441ED00C-A3E9-40C9-8E1C-60E5DAC667F4}.exe
    {8E024A3F-D633-4CB4-B1FE-8A60E3D3886C}.exe
    {1369CC2E-A5BC-4980-A155-800A519A19C1}.exe

    Logfile of HijackThis v1.99.1
    Scan saved at 09:02:04, on 23/07/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
    C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
    C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
    C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\Documents and Settings\dominique.principal\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
    O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
    O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
    O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    0
  3. fanfan
     
    bonjour, je viens de télécharger fiwwareout sur mon ordi. voici mon rapport est ce que quelqu'un peut traduire tout cela??
    merci beaucoup

    je viens de faire ce téléchargement suite à un rpoblème de connexion sur le site vente privée...et ça marche grace à fixwareout
    céline
    Fixwareout Last edited 2/11/2007
    Post this report in the forums please
    ...
    »»»»»Prerun check
    HKLM\SOFTWARE\~\Winlogon\ "System"="kdfzr.exe"

    »»»»» System restarted

    »»»»» Postrun check
    HKLM\SOFTWARE\~\Winlogon\ "system"=""
    ....
    ....
    »»»»» Misc files.
    ....
    »»»»» Checking for older varients.
    ....

    Search five digit cs, dm, kd, jb, other, files.
    The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

    Click browse, find the file then click submit.
    http://www.virustotal.com/flash/index_en.html
    Or https://virusscan.jotti.org/

    »»»»» Other
    C:\WINDOWS\Temp\kdfzr.ren 63371 05/08/2004

    »»»»» Current runs
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
    "type32"="\"C:\\Program Files\\Microsoft IntelliType Pro\\type32.exe\""
    "IntelliPoint"="\"C:\\Program Files\\Microsoft IntelliPoint\\point32.exe\""
    "BigDogPath"="C:\\WINDOWS\\VM_STI.EXE VIMICRO USB PC Camera"
    "EoEngine"=""
    "EoComputer"=""
    "Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Album Edition Découverte\\3.0\\Apps\\apdproxy.exe\""
    "NWEReboot"=""
    "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "OfficeScanNT Monitor"="\"C:\\Program Files\\Trend Micro\\OfficeScan Client\\pccntmon.exe\" -HideWindow"
    "SDR6V_Check"="\"C:\\Program Files\\Fichiers communs\\DriveCleaner 2006 Free\\SDRmon.exe\""
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
    "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"
    "Configuration de la C-BOX"="C:\\Program Files\\Cegetel\\C-BOX\\Wizard\\QuickAccess.exe"
    ....
    Hosts file was reset, If you use a custom hosts file please replace it
    »»»»» End report »»»»»
    0
  4. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut fanfan

    je viens de faire ce téléchargement suite à un rpoblème de connexion sur le site vente privée

    ????


    F - Hijackthis - Outil de diagnostic et réparation

    Télécharge la version française ici:
    hijackthis

    Dézippe (Clik droit dessus et choisis extraire tout) le dans un dossier prévu à cet effet.

    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo (merci à Balltrap) :
    installation hijackthis
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "faire un scan et sauvegarder le log" (cf. démo)
    faire un copier coller du log entier sur le forum

    Démo : (merci à balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A++
    0