[Virus] SpySheriff

ceilan12 Messages postés 43 Statut Membre -  
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   -
bonjour à tous j'ai été infecté par le virus spy sheriff , j'ai donc regardé des posts similairs avant de poster ici et j'ai téléchargé

smitfraud et hoster

voici le rapport smitfraud :

SmitFraudFix v2.125

Rapport fait à 2:48:38,09, 30/11/2006
Executé à partir de C:\Documents and Settings\michelle\Bureau\smitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\sysvx_.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\cmd32.exe PRESENT !
C:\WINDOWS\system32\comdlg64.dll PRESENT !
C:\WINDOWS\system32\sysvx.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\michelle

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\michelle\Application Data

C:\Documents and Settings\michellethiery\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\michelle\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\michelle\Bureau\asfds PRESENT !
C:\DOCUME~1\michelle\Bureau\cdegfr PRESENT !
C:\DOCUME~1\michelle\Bureau\fdsf PRESENT !
C:\DOCUME~1\michelle\Bureau\sdfdsf PRESENT !
C:\DOCUME~1\michelle\Bureau\sdfff PRESENT !
C:\DOCUME~1\michelle\Bureau\zxczxc PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Program Files\\WindowsUpdate\\xuvy.html"
"SubscribedURL"=""
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="C:\\Program Files\\Messenger\\visono.html"
"SubscribedURL"=""
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8A5849B5-93F3-429D-FF34-660A2068897C}"="OpenGL additional"

[HKEY_CLASSES_ROOT\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
@="C:\WINDOWS\System32\xsRecovery.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
@="C:\WINDOWS\System32\xsRecovery.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="dxclib303562752.dll"

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

9 réponses

  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     

    Salut

    Fais le 2°/ de smitfraud et un hitjackthis ensuite

    1°/ - Télécharge le logiciel SmitfraudFix ((crée par S!Ri )
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
    cela vas générer un rapport.
    Si tu vois des lignes avec PRESENT! Continue la manip qui suit.

    2°/Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)

    - Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l’option 2 et tu réponds oui à tout.

    Copie/colle le rapport sur le forum stp.

    ENSUITE


    F - Hijackthis - Outil de diagnostic et réparation
    lire démo
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    Télécharge version française ici
    http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
    Copie/colle le rapport

    Bon courage

    A++

    A++

    0
  2. ceilan12 Messages postés 43 Statut Membre 2
     
    Merci de d'avoir répondu aussi rapidement Marie

    Juste une chose quand je reboot l'ordinateur et que j'arrive à mon bureau je ne vois rien à part le fond d'écran . Je suis obligé de faire ctr + alt + sup , de fermer explorer et de faire nouvelle tache , explorer

    2 em chose je ne vois pas les images sur internet , je ne sais pas si c'est à cause de spysheriff mais enfin bon . . .

    Voici les 2 rapports fait en mod sans echec

    SmitFraudFix v2.125

    Rapport fait à 14:00:34,85, 30/11/2006
    Executé à partir de C:\Documents and Settings\michelle\Bureau\smitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{8A5849B5-93F3-429D-FF34-660A2068897C}"="OpenGL additional"

    [HKEY_CLASSES_ROOT\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
    @="C:\WINDOWS\System32\xsRecovery.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
    @="C:\WINDOWS\System32\xsRecovery.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\sysvx_.exe supprimé
    C:\WINDOWS\system32\cmd32.exe supprimé
    C:\WINDOWS\system32\comdlg64.dll supprimé
    C:\WINDOWS\system32\sysvx.exe supprimé
    C:\Documents and Settings\michelle\Application Data\Install.dat supprimé
    C:\DOCUME~1\michelle\Bureau\asfds supprimé
    C:\DOCUME~1\michelle\Bureau\cdegfr supprimé
    C:\DOCUME~1\michelle\Bureau\fdsf supprimé
    C:\DOCUME~1\michelle\Bureau\sdfdsf supprimé
    C:\DOCUME~1\michelle\Bureau\sdfff supprimé
    C:\DOCUME~1\michelle\Bureau\wdcsadsad supprimé
    C:\DOCUME~1\michelle\Bureau\zxczxc supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{8A5849B5-93F3-429D-FF34-660A2068897C}"="OpenGL additional"

    [HKEY_CLASSES_ROOT\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
    @="C:\WINDOWS\System32\xsRecovery.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8A5849B5-93F3-429D-FF34-660A2068897C}\InProcServer32]
    @="C:\WINDOWS\System32\xsRecovery.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Pour Hijack j'ai cliqué sur : DO A SYSTEM SCAN AND SAVE A LOGFILE

    Rapport Hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 14:03:19, on 30/11/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\PadsysAssistant\PadsysAssistant.exe
    C:\WINDOWS\System32\msvcrt.exe
    C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
    C:\WINDOWS\System32\cmd.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\WINDOWS\System32\msvcrt.exe
    C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
    C:\WINDOWS\System32\msvcrt.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\WINDOWS\System32\msvcrt.exe
    C:\DOCUME~1\michelle\Bureau\Lolilol\HIJACK~1.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
    O2 - BHO: C:\WINDOWS\System32\xsRecovery.dll - {8A5849B5-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\System32\xsRecovery.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\INET20~1\svchost.exe
    O4 - HKLM\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
    O4 - HKLM\..\Run: [Imapi] C:\WINDOWS\\help\svchost.exe
    O4 - HKLM\..\Run: [xjx1b77c] RUNDLL32.EXE w1ca9566.dll,n 0071b775000000051ca9566
    O4 - HKLM\..\Run: [jgvlwqx] c:\windows\system32\jgvlwqx.exe jgvlwqx
    O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
    O4 - HKLM\..\Run: [System64] C:\WINDOWS\System32\inet.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [veidw.exe] C:\WINDOWS\System32\veidw.exe
    O4 - HKLM\..\Run: [ms] C:\DOCUME~1\thiery\LOCALS~1\Temp\3267\gm.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\PROGRA~1\SPYBOT~1\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BitTorrent] "C:\PROGRA~1\BITTOR~1\BITTOR~1.EXE" --force_start_minimized
    O4 - HKCU\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\thiery\LOCALS~1\Temp\svchost.exe
    O4 - HKCU\..\Run: [WinUpdate] C:\DOCUME~1\thiery\LOCALS~1\Temp\473007~1.EXE
    O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
    O4 - HKCU\..\Run: [CMIntex] "C:\Program Files\CMIntex\CMIntex.exe"
    O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Demo\Tom Clancy's Splinter Cell Double Agent Online Demo\support\Register\Reg.exe
    O4 - Global Startup: wupdmgr.exe
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{637FD5E8-E20E-444B-84E2-FA7E49408B31}: NameServer = 85.255.115.35,85.255.112.122
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.122
    O17 - HKLM\System\CS1\Services\Tcpip\..\{637FD5E8-E20E-444B-84E2-FA7E49408B31}: NameServer = 85.255.115.35,85.255.112.122
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.122
    O17 - HKLM\System\CS2\Services\Tcpip\..\{637FD5E8-E20E-444B-84E2-FA7E49408B31}: NameServer = 85.255.115.35,85.255.112.122
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.122
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter: text/html - (no CLSID) - (no file)
    O20 - AppInit_DLLs: dxclib303562752.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O21 - SSODL: jGPOgIAg - {34322777-9E98-8DDD-442D-4D9E63AF168D} - C:\WINDOWS\System32\bqxo.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    0
  3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bon, dis moi...avant de continuer

    Ton anti-virus ??
    Ton pare-feu ??

    0
  4. ceilan12 Messages postés 43 Statut Membre 2
     
    je n'ai aucun anti virus ni par feu , mais jutilise IE c principalement ça qui m'a fait attraper spy sheriff , je télécharger firefox là

    Merci d'avance pour la suite
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    En urgence

    Un anti virus et un pare-feu........

    antivirus gratuits
    télécharger la version gratuite de Avast
    Vous pouvez télécharger Avast sur le site suivant
    https://www.avast.com/free-antivirus-download
    Tuto ->
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/questions-avast-sujet_176199_1.htm

    et

    télécharger la version gratuite de Kerio (avec Avast => moins de conflits)
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

    Tuto =>
    https://www.vulgarisation-informatique.com/kerio.php

    https://kerio.probb.fr/

    Conseils complémentaires
    https://sebsauvage.net/
    0
  7. ceilan12 Messages postés 43 Statut Membre 2
     
    Je sais où en trouver c'est pas le probleme mais merci pour les liens

    mais ques que je dois faire pour enlever ce fichu virus

    Et je ne vois tjrs pas les images sur internet c'est trés desagreable !
    0
  8. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonjour

    Je sais où en trouver c'est pas le probleme mais merci pour les liens
    Bon, c'est bien. Installe les.

    mais ques que je dois faire pour enlever ce fichu virus

    L'anti-virus pourra faire une partie du travail pour enlever ce virus, ensuite tu repostes un log Hitjacktjis et on continue la désinfection<;;

    A++

    0
  9. ceilan12 Messages postés 43 Statut Membre 2
     
    Après avoir redemarer hier je n'ai pas pu acceder à mon bureau , ca lagait à mort ,je suis devenu fou j'ai RE RE FORMATER !

    Merci pour ton aide et tes réponses rapides Marie je sais à qui faire appelle si j'ai encore un problème maintenant ^^

    Bonne journée et encore merci !
    0
  10. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    OK, n'oublies pas

    ==> Anti-virus

    ==> pare-feu

    A++
    0