"Sécurity warning"

Résolu
Gribouille -  
 Cyril -
Bonjour,

J'ai une icone ronde rouge avec un point d'exclamation jaune qui est apparue à coté de l'horloge de mon PC.
Elle me dit: "Security warning: your computer may be infectedwith harmful or unwanted software"

Je n'ose pas cliquer dessus.
Les infos que je trouve sont en anglais, mais je ne suis pas assez anglophone pour bien comprendre.

Merci de votre aide par avance !!

29 réponses

  • 1
  • 2
  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Slt,

    - Télécharge le logiciel SmitfraudFix crée par S!Ri :
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.

    - Ouvre le dossier "SmitfraudFix" qui sera apparu, double clic sur "Smitfraudfix.cmd", choisis l’option 1, un log va être généré…

    Copie et colle le rapport sur le forum.

    Ensuite

    Fais cette manipulation :

    - Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

    - Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.

    Colle le nouveau rapport après.

    a+
    0
  2. Gribouille
     
    Voilà le premier:
    SmitFraudFix v2.119

    Rapport fait à 13:02:58,03, 04/11/2006
    Executé à partir de C:\Documents and Settings\Fff\Bureau\smitfraudfix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\ismini.exe PRESENT !
    C:\WINDOWS\system32\drvmam.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fff\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    Je vais faire le second....
    0
  3. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Si tu ne te trompes pas, l'icône disparaîtra :)

    Je reviendrai ce soir, si tu as d'autres problèmes...

    a+
    0
  4. Gribouille
     
    Voici le second en mode sans echec Option 2:
    SmitFraudFix v2.119

    Rapport fait à 13:13:18,84, 04/11/2006
    Executé à partir de C:\smitfraudfix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\ismini.exe supprimé
    C:\WINDOWS\system32\drvmam.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    Il ne m'a rien demandé donc je n'ai pas eut à lui dire oui !!!
    L'icone en question est toujours là...

    C'est quoi exactement que je viens de faire !?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Gribouille
     
    J'ai passé Ad-aware, Spybot et Ccleaner.
    Le dernier voit ce fichier : C:\WINDOWS\TEMP\win252.tmp.exe 32,50KB, mais ne l'enlève pas.
    Manuellement, je ne peux pas le faire, il est inaccessible...
    0
  7. Gribouille
     
    J'ai enlevé ce fichier, mais l'icone est toujours présente !!!
    Je pense que c'est une "connerie" pour me faire aller sur un site internet....
    0
  8. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Slt,

    Pour avancer Kristopher que je salue bien baaass...

    Fais ce qui suit

    F - Hijackthis - Outil de diagnostic et réparation
    lire démo
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    Télécharge version française ici
    http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
    Copie/colle le rapport

    Bon courage

    A++

    Evite les caractères en gras, c'est pas agréable du tout Merci
    0
  9. Gribouille
     
    Bonsoir,

    Voici le rapport Hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 16:48:45, on 04/11/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\wuauclt.exe
    D:\Programmes\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/offres-numericable.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvmam.dll,startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    


    Merci
    0
  10. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonjour à tous :)

    Gribouille, restons simple - laisse les rapports tels quels, sans t'amuser à les mettre en gras ou entre balises car ça rend la lecture plus difficile pour tout le monde. Merci.

    Le fichier qui est la source de ton appréhension c'est drvmam.dll.

    Avant de le supprimer, il serait judicieux de l'analyser :

    1/ Affiche tous les fichiers et dossiers :

    Clique sur "démarrer" -> "Panneau de configuration" -> "Outils" (tout en haut) -> "Options des dossiers..." -> "Affichage".

    Coche :
    "afficher les fichiers et dossiers cachés"
    Décoche les cases :
    "masquer les fichiers protégés du système d'exploitation (recommandé)"
    "masquer les extensions dont le type est connu"

    Clique sur "Appliquer", puis "Ok"

    2/ Rends toi sur http://www.virustotal.com/flash/index_en.html
    Clique sur "Parcourir..." et cherche le fichier en gras :
    C:\WINDOWS\system32\drvmam.dll
    Attends que le rectangle soit vert (à droite) et clique sur "Send".
    Une fois le scan terminé, copie/colle le rapport sur le forum.

    Bon dimanche.

    Bizz ^^Marie^^
    0
  11. Gribouille
     
    Salut,

    Voici le rapport Virustotal: (pas très probant)
    Antivirus Version Update Result
    AntiVir 7.2.0.37 11.03.2006 no virus found
    Authentium 4.93.8 11.05.2006 no virus found
    Avast 4.7.892.0 11.03.2006 no virus found
    AVG 386 11.04.2006 no virus found
    BitDefender 7.2 11.05.2006 no virus found
    CAT-QuickHeal 8.00 11.04.2006 no virus found
    ClamAV devel-20060426 11.05.2006 no virus found
    DrWeb 4.33 11.05.2006 BACKDOOR.Trojan
    eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
    eTrust-Vet 30.3.3176 11.03.2006 no virus found
    Ewido 4.0 11.05.2006 no virus found
    Fortinet 2.82.0.0 11.05.2006 no virus found
    F-Prot 3.16f 11.04.2006 no virus found
    F-Prot4 4.2.1.29 11.04.2006 no virus found
    Ikarus 0.2.65.0 11.03.2006 no virus found
    Kaspersky 4.0.2.24 11.05.2006 no virus found
    McAfee 4888 11.03.2006 no virus found
    Microsoft 1.1609 11.04.2006 no virus found
    NOD32v2 1.1853 11.03.2006 no virus found
    Norman 5.80.02 11.03.2006 no virus found
    Panda 9.0.0.4 11.04.2006 Suspicious file
    Sophos 4.10.0 10.26.2006 no virus found
    TheHacker 6.0.1.112 11.03.2006 no virus found
    0
  12. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Slt,

    Tu as fait le <10> ???

    Bizz Kritopher

    0
  13. Gribouille
     
    Je suis désolée, mais je ne vois pas ce que tu veux dire par:
    <10> "Security Warning"
    0
  14. Gribouille
     
    PARDON !
    Je viens de comprendre...

    J'ai voulut le faire une fois et ça m'a fais tellement de problème que j'ai laissé tombé ! De plus, ce PC n'est pas sur internet...

    Je voudrais comprendre d'où vient cette icone rouge avec un point d'exclamation jaune !!
    0
  15. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Salut,

    Il est temps d'en finir avec ce truc.

    1/ - Télécharge Pocket Killbox ici :
    http://www.downloads.subratam.org/KillBox.exe
    Déconnecte toi du net.

    Double clic sur killbox.exe (Pocket Killbox)

    - Coche : "Delete on reboot"
    - Dans "Full Path of File to Delete"
    copie et colle ceci :

    C:\WINDOWS\system32\drvmam.dll

    - clique sur la croix blanche sur le fond rouge.
    - une fenêtre va apparaître pour confirmation : clique sur "YES".
    - une seconde fenêtre te demande si tu veux redémarrer : clique sur "YES".

    Laisse le PC redémarrer.
    Si tu as le message suivant : "pending file rename operations registry data has been removed by external process.", ignore-le et redémarre ton PC manuellement.
    En image : http://tinypic.com/images/goodbye.jpg

    2/ Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) :
    http://www.bitdefender.fr/scan8/ie.html
    Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
    Ensuite, clique sur "Cliquez ici pour scanner".
    Patiente jusqu'à la fin du scan...
    Copie/colle le rapport entier sur le forum.

    a+
    0
  16. Gribouille
     
    Le problème étant que je 'utilise pas IE, et ne souhaite vraiment pas l'utiliser....
    0
  17. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Et alors ? tu peux faire quand même le 1/ non ?

    Enfin si tu veux garder tes infections, fais comme tu veux...

    Mais je m'étonne un peu quand même :

    Comment fais-tu pour les mises à jour et les différents scans en ligne sans passer par IE ? (je devine que c'est une question philosophique, sans réponse. Ou plutôt avec une réponse sous-entendue lol)

    a+
    0
  • 1
  • 2