VirusBuster

nob10 Messages postés 114 Date d'inscription   Statut Membre -  
 Utilisateur anonyme -
Bonsoir,

J'ai été infecter par VirusBuster.

J'ai déroulé cette procédure.
Clean Up,
JV 16 Power Tools,
AD Aware,
Spybot,
Ewido
Avast.

AD Aware et Spybot m'ont trouvé malware et spyware que j'ai pu supprimer, Avast rien.

J'ai pu supprimer VirusBuster et VideoCodec mais le nettoyage ne semble pas complet :

J'ai toujours la croix jaune sur fond bleu et le point d'interrogation à coté d l'horloge (Critical System Error)

Voici mon log HighJack

Logfile of HijackThis v1.99.1
Scan saved at 19:39:42, on 29/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HighJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1855C089-9C96-4F2E-BAF8-78377316961A}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: ferrateen - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - (no file)

Merci pour votre aide

20 réponses

  1. Utilisateur anonyme
     
    Salut,

    réinstalle ton pare-feu il merdouille apparement

    Télécharge SmitfraudFix (enregistre le sur le "bureau")
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    décompresse SmitfraudFix
    Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp
    0
  2. killzone Messages postés 6 Statut Membre
     
    moi aussi g eu le meme problem et je voulai savoir si ce ki est dis est à faire ou pas...
    merci d'avance
    0
  3. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Merci pour la réactivité,

    J'ai réinstallé Zone Alarm.

    Effectivement il merdouillait, le processus vsmon.exe (lié à zone alarm il me semble) devait être 'terminé maintenant' à la fermeture de Windows. je n'ai pas vérifié si c'était toujours le cas, je vais le faire en attendant ta réponse.

    Au redémarrage après installation de Zone Alarm, je viens d'avoir le message suivant :
    Votre Système n'a pas de fichier d'échange ou le fichier d'échange est trop petit. Windows conseille :
    Panneau de conf
    Avancé
    Performance
    Paramètres
    Avancé
    Modifier
    Taille personnalisée
    Entrez une initiale ou une taille de fichier maximum

    Quelle valeur dois-je mettre s'il faut faire cette modification ? Je ne fais rien pour le moment et je vois au redémmarrage si le message persiste.

    Voici le LOg :
    SmitFraudFix v2.117

    Rapport fait à 21:29:26,97, 29/10/2006
    Executé à partir de C:\Documents and Settings\Bruno\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\rrtcany.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bruno

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bruno\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Bruno\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

    [HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  4. killzone Messages postés 6 Statut Membre
     
    SmitFraudFix v2.117

    Rapport fait à 21:41:13.25, 29/10/2006
    Executé à partir de C:\Documents and Settings\Robin Monrolin\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\rrtcany.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Robin Monrolin

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Robin Monrolin\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ROBINM~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\VirusBursters\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

    [HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    voila le rapport , merci de préciser le reste de la marche à suivre
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. killzone Messages postés 6 Statut Membre
     
    noobs10 si tu pouvais mexpliquer ce ke c'est ke cette merde...
    0
  7. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Ben je sais pas, il me semble que tu t'ai planté de poste
    0
  8. killzone Messages postés 6 Statut Membre
     
    noobs10 apres avoir affiché le rapport fais 2(nettoyer) et quand il te pose une question repond lui non et licone va degager et le probleme aussi^^
    0
  9. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Salut killzone,

    C'est pas que je ne veux pas de ton aide mais boulepate me semble très expérimenté (vu le nombre de problème corrigés). Même s'il semble que le problème soit résolu chez toi, je préfère attendre la réponse de boulepate.

    Mes excuses d'avance si boulepate me confirme ce que tu me dis.

    Merci quand même.
    0
  10. killzone Messages postés 6 Statut Membre
     
    ok pas de problem mais je peux te dire que je suis soulagé ke cette saloperie soit virée
    0
  11. killzone Messages postés 6 Statut Membre
     
    ok pas de problem mais je peux te dire que je suis soulagé ke cette saloperie soit virée
    0
  12. Utilisateur anonyme
     
    killzone fait ça

    Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)

    - Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l 'option 2 et tu réponds oui à tout.

    Enregistre le rapport puis Copie/colle le rapport sur le forum stp.

    Puis remet un rapport hijackthis stp
    0
  13. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Je pense que zone alarm fonctionne correctement maintenant (pas de message 'terminé maintenant' à la femeture de windows).

    Dois-je faire la même chose que killzone
    0
  14. Utilisateur anonyme
     
    Oui Nob désolé le message etait pour toi !
    0
  15. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Voilà le rapport:

    SmitFraudFix v2.117

    Rapport fait à 20:04:51,97, 30/10/2006
    Executé à partir de C:\Documents and Settings\Bruno\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

    [HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
    @="C:\WINDOWS\system32\rrtcany.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\rrtcany.dll supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll
    0
  16. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Pour info:

    PLus d'alerte virus (icone à coté de l'horloge)

    Par contre j'ai toujours le message sur le fichier d'échange au démarrage de windows
    0
  17. Utilisateur anonyme
     
    Ok, dis moi combien tu as RAM on verra ensuite pour ton problème d'échange qui vient de là

    Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
    Une fois qu'il a terminé colle le rapport ici stp

    https://www.bitdefender.com/toolbox/
    0
  18. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Bit defender a trouvé un virus et l'a supprimé :

    BitDefender Online Scanner - Real Time Virus Report

    Generated at: Mon, Oct 30, 2006 - 21:25:51

    Scan Info

    Scanned Files

    147643

    Infected Files

    1

    Virus Detected

    Generic.Hacdef.INI.8F2F33F4

    1

    Un clic sur les propriété de mon poste de travail me dit 448 Mo de RAM
    0
  19. Utilisateur anonyme
     
    ok,

    donc clic sur démarrer, panneau de configuration, performances et maintenance, système, avancé, "performances" paramétres, avancé, tout en bas regarde à mémoire virtuelle quel nombre est inscrit.

    Il devrait y être marqué 672, si ce n'est pas le cas tu cliques sur "modifier" "taille personalisée" et tu entre dans la premier case 672

    redémarre le Pc et dit nous quoi
    0
  20. nob10 Messages postés 114 Date d'inscription   Statut Membre 2
     
    Eh ben écoute ... plus aucun problème. Merci pour ce boulot que tu fais pour tous les novices que nous sommes.

    Les tailles initiale et maxi du fichier était de 2302. J'ai modifier la taille initiale à 672.

    Je pense que c'était du à une mauvaise utilisation de diskeeper que je ne maitrise pas. Pourtant après analyse de mes disques, il me conseillait de modifier (via le logiciel) la taille de mon 'paging file' qui correspond au fichier d'échange si je ne m'abuse.

    Je vais me contenter de défragmenter quand c'est nécessaire à l'avenir et de ne pas faire d'autre manip réservée au pro.

    Merci Boulepate !
    0
  21. Utilisateur anonyme
     
    Salut,

    content d'avoir pû t'aider ;-)

    Concernant Diskeeper n'utilise que la defragmentation.
    Si tu veux "optimiser" certains paramétres de Windows renseigne toi un peu avant car des fois ça peut poser problèmes comme dnas ton cas

    Bon surf !
    0