"Sécurity warning" Résolu/Fermé

Question

Bonjour,  
 
J'ai une icone ronde rouge avec un point d'exclamation jaune qui est apparue à coté de l'horloge de mon PC.
Elle me dit: "Security warning: your computer may be infectedwith harmful or unwanted software"
 
Je n'ose pas cliquer dessus.
Les infos que je trouve sont en anglais, mais je ne suis pas assez anglophone pour bien comprendre.
 
Merci de votre aide par avance !!

Kristopher · Answer

Slt,

- Télécharge le logiciel SmitfraudFix crée par S!Ri :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.

- Ouvre le dossier "SmitfraudFix" qui sera apparu, double clic sur "Smitfraudfix.cmd", choisis l’option 1, un log va être généré…

Copie et colle le rapport sur le forum.

Ensuite

Fais cette manipulation :

- Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

- Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.

Colle le nouveau rapport après.

a+

Gribouille · Answer

Voilà le premier:
SmitFraudFix v2.119

Rapport fait à 13:02:58,03, 04/11/2006
Executé à partir de C:\Documents and Settings\Fff\Bureau\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ismini.exe PRESENT !
C:\WINDOWS\system32\drvmam.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fff\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Je vais faire le second....

Kristopher · Answer

Si tu ne te trompes pas, l'icône disparaîtra :)

Je reviendrai ce soir, si tu as d'autres problèmes...

a+

Gribouille · Answer

Voici le second en mode sans echec Option 2:
SmitFraudFix v2.119

Rapport fait à 13:13:18,84, 04/11/2006
Executé à partir de C:\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ismini.exe supprimé
C:\WINDOWS\system32\drvmam.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin



Il ne m'a rien demandé donc je n'ai pas eut à lui dire oui !!!
L'icone en question est toujours là...

C'est quoi exactement que je viens de faire !?

Gribouille · Answer

J'ai passé Ad-aware, Spybot et Ccleaner.
Le dernier voit ce fichier : C:\WINDOWS\TEMP\win252.tmp.exe 32,50KB, mais ne l'enlève pas.
Manuellement, je ne peux pas le faire, il est inaccessible...

Gribouille · Answer

J'ai enlevé ce fichier, mais l'icone est toujours présente !!!
Je pense que c'est une "connerie" pour me faire aller sur un site internet....

^^Marie^^ · Answer

Slt,

Pour avancer Kristopher que je salue bien baaass...


Fais ce qui suit

F -  Hijackthis - Outil de diagnostic et réparation 
lire démo 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
Télécharge version française ici 
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html 
Copie/colle le rapport 

Bon courage 

A++


Evite les caractères en gras, c'est pas agréable du tout  Merci

Gribouille · Answer

Bonsoir, 

Voici le rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:48:45, on 04/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/offres-numericable.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvmam.dll,startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Merci

Gribouille · Answer

Kristopher ??

^^Marie^^ · Answer

Slt

Tu es toujours en SP1, ==><Platform: Windows XP SP1 (WinNT 5.01.2600)

Tu devrais installer le SP2 ==> plus de protections

https://www.microsoft.com/fr-fr/search?q=Windows+XP+sp2&l=1&FORM=QBME1

Kristopher · Answer

Bonjour à tous :)

Gribouille, restons simple - laisse les rapports tels quels, sans t'amuser à les mettre en gras ou entre balises car ça rend la lecture plus difficile pour tout le monde. Merci.

Le fichier qui est la source de ton appréhension c'est drvmam.dll.

Avant de le supprimer, il serait judicieux de l'analyser :

1/ Affiche tous les fichiers et dossiers : 

Clique sur "démarrer" -> "Panneau de configuration" -> "Outils" (tout en haut) -> "Options des dossiers..." -> "Affichage".

Coche :  
"afficher les fichiers et dossiers cachés" 
Décoche les cases : 
"masquer les fichiers protégés du système d'exploitation (recommandé)" 
"masquer les extensions dont le type est connu" 

Clique sur "Appliquer", puis "Ok"

2/ Rends toi sur http://www.virustotal.com/flash/index_en.html 
Clique sur "Parcourir..." et cherche le fichier en gras :
C:\WINDOWS\system32\drvmam.dll
Attends que le rectangle soit vert (à droite) et clique sur "Send".
Une fois le scan terminé, copie/colle le rapport sur le forum.

Bon dimanche.

Bizz ^^Marie^^

Gribouille · Answer

Salut,

Voici le rapport Virustotal: (pas très probant)
Antivirus	Version	Update	Result
AntiVir	7.2.0.37	11.03.2006	no virus found
Authentium	4.93.8	11.05.2006	no virus found
Avast	4.7.892.0	11.03.2006	no virus found
AVG	386	11.04.2006	no virus found
BitDefender	7.2	11.05.2006	no virus found
CAT-QuickHeal	8.00	11.04.2006	no virus found
ClamAV	devel-20060426	11.05.2006	no virus found
DrWeb	4.33	11.05.2006	BACKDOOR.Trojan
eTrust-InoculateIT	23.73.45	11.03.2006	no virus found
eTrust-Vet	30.3.3176	11.03.2006	no virus found
Ewido	4.0	11.05.2006	no virus found
Fortinet	2.82.0.0	11.05.2006	no virus found
F-Prot	3.16f	11.04.2006	no virus found
F-Prot4	4.2.1.29	11.04.2006	no virus found
Ikarus	0.2.65.0	11.03.2006	no virus found
Kaspersky	4.0.2.24	11.05.2006	no virus found
McAfee	4888	11.03.2006	no virus found
Microsoft	1.1609 	11.04.2006	no virus found
NOD32v2	1.1853	11.03.2006	no virus found
Norman	5.80.02	11.03.2006	no virus found
Panda	9.0.0.4	11.04.2006	Suspicious file
Sophos	4.10.0	10.26.2006	no virus found
TheHacker	6.0.1.112	11.03.2006	no virus found

^^Marie^^ · Answer

Slt,

Tu as fait le <10> ???


Bizz Kritopher

Gribouille · Answer

C'est quoi le <10> ?

^^Marie^^ · Answer

< 10 > - "Sécurity warning" Ajouté par ^^Marie^^ (05/11/2006 à 11:35 GMT+1) Slt Tu es toujours en SP1, ==> plus de protections https://www.microsoft.com/fr-fr/search?q=Windows+XP+sp2&l=1&FORM=QBME1

Gribouille · Answer

Je suis désolée, mais je ne vois pas ce que tu veux dire par:
<10> "Security Warning"

Gribouille · Answer

PARDON !
Je viens de comprendre...

J'ai voulut le faire une fois et ça m'a fais tellement de problème que j'ai laissé tombé ! De plus, ce PC n'est pas sur internet...

Je voudrais comprendre d'où vient cette icone rouge avec un point d'exclamation jaune !!

Kristopher · Answer

Salut,

Il est temps d'en finir avec ce truc.

1/ - Télécharge Pocket Killbox ici : 
http://www.downloads.subratam.org/KillBox.exe 
Déconnecte toi du net. 

Double clic sur killbox.exe (Pocket Killbox)

- Coche : "Delete on reboot"
- Dans "Full Path of File to Delete"
copie et colle ceci :

C:\WINDOWS\system32\drvmam.dll

- clique sur la croix blanche sur le fond rouge.
- une fenêtre va apparaître pour confirmation : clique sur "YES".
- une seconde fenêtre te demande si tu veux redémarrer : clique sur "YES".

Laisse le PC redémarrer.
Si tu as le message suivant : "pending file rename operations registry data has been removed by external process.", ignore-le et redémarre ton PC manuellement.
En image :  http://tinypic.com/images/goodbye.jpg    

2/ Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) : 
http://www.bitdefender.fr/scan8/ie.html 
Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut). 
Ensuite, clique sur "Cliquez ici pour scanner". 
Patiente jusqu'à la fin du scan... 
Copie/colle le rapport entier sur le forum.

a+

Gribouille · Answer

Le problème étant que je 'utilise pas IE, et ne souhaite vraiment pas l'utiliser....

Kristopher · Answer

Et alors ? tu peux faire quand même le 1/ non ?

Enfin si tu veux garder tes infections, fais comme tu veux...

Mais je m'étonne un peu quand même :

Comment fais-tu pour les mises à jour et les différents scans en ligne sans passer par IE ? (je devine que c'est une question philosophique, sans réponse. Ou plutôt avec une réponse sous-entendue lol)

a+

Gribouille · Answer

Oui, pardon, je peux faire le 1/
(pas ce matin...)
Mais je trouvais le résultat du scan pas très probant... Tu pense qu'on peux l'enlever ? même s'ils n'ont été que 2 à trouver que ce fichier était bizarre ?

J'utilise Mozilla Firefox.

Kristopher · Answer

Je pense qu'on peut l'enlever.

Et je te conseille d'utiliser IE rien que le temps du scan.

Et comment tu fais pour les mises à jour et les autres scans en ligne sans passer par IE alors ?

Gribouille · Answer

J'ai suivi ta procédure, et au redémarrage, l'icone n'est pas réapparue !
Merci beaucoup !!!

Gribouille · Answer

Plus d'icone, mais maintenant, j'ai un message comme quoi ce fameux fichier manque à chaque redémarrage.
Je suis allée voir sur le PC d'un ami si je pouvais lui piquer, mais il n'existe pas....

yep · Answer

demarrer
executer
msconfig
tu decoche la ligne genante

Kristopher · Answer

re Gribouille,

Alors ça avance ? ;)

a+

Gribouille · Answer

J'ai décoché, mais au redémarrage, il n'a pas voulu finir de démarrer, et j'ai du remettre cette fameuse ligne....

alphonse · Answer

salut tout le monde!!

je sais pas si quelqu'un pourrait m'aider!j'ai tout lu sur le forum sur le sujet "security warning" j'ai le même problème.une icones a coté de l'heure fait son apparition (roud rouge avec un point d'exclamation dedans).

donc j'ai essayé avec plusieurs logiciels,ça me détecte des spywares que je supprime mais il y a toujours la même icones.j'ai même essayé la technique avec smitfraudFix. 


merci d'avance pour l'aide!!

Cyril · Answer

Salut à tous après avoir essayer plusieurs façons de retirer ce "virus" sans succès, j'ai trouvé un moyen simple et efficace à la porté de tout le monde, il s'agit de faire une restauration antérieure du système par windows, dans outils système via le menu démarrer.

"Sécurity warning"

29 réponses

Discussions similaires