[virus] ultimatecleaner, winantiviruspro... Fermé

Question

Bonjour,
j'ai internet depuis peu...
j'ai chopé un virus et des spywares (win32, et autres trojan) après plusieurs tentatives de désinfection (avast, secuser.com, pandasoftware, ad aware...) j'ai renoncé et refais une restauration du système avec un cd spécial.
Maintenant, j'ai réinstaller ad-aware, spybot et zonealarm... mais je reçois fréquemment des messages comme quoi mon pc est infecté (winantivirus pro, ultimate cleaner, defender...)
Aussi j'utilise internet explorer qui rencontre beaucoup d'erreur et doit fermer souvent (peut-être c'est dû au virus???),ou parfois rediriger sur des sites,notament d'antivirus.
merci d'avance pour l'aide que vous pourrez m'apporter

Séb08 · Answer

slt,

Télécharges smitfraudfix:(merci a S!RI pour ce programme)
 
En image : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1 
cela vas générer un rapport,copie/colle le.

a+

jahpops · Answer

01/25/07 19:27:08 [Info]: BlackLight Engine 1.0.55 initialized
01/25/07 19:27:08 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/25/07 19:27:09 [Note]: 7019 4
01/25/07 19:27:09 [Note]: 7005 0
01/25/07 19:27:16 [Note]: 7006 0
01/25/07 19:27:16 [Note]: 7011 1608
01/25/07 19:27:16 [Note]: 7026 0
01/25/07 19:27:16 [Note]: 7026 0
01/25/07 19:27:32 [Note]: FSRAW library version 1.7.1021
01/25/07 19:32:42 [Note]: 4013 26105
01/25/07 19:32:42 [Note]: 4020 19 1245184
01/25/07 19:32:42 [Note]: 4018 19 1245184
01/25/07 19:34:11 [Note]: 7007 0

Séb08 · Answer

Ok jette blacklight il est clean.

Remet un rapport Smitfraudfix option 1 le premier n'etait pas complet .

a+

jahpops · Answer

SmitFraudFix v2.135

Rapport fait à 19:40:50,23, 25/01/2007
Executé à partir de C:\Documents and Settings\AdŠle\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\AdŠle


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\AdŠle\Application Data

C:\Documents and Settings\AdŠle\Application Data\Install.dat PRESENT !
C:\Documents and Settings\AdŠle\Application Data\Microsoft\Internet Explorer\Quick Launch\Antispyware Soldier.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADLE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Séb08 · Answer

Ok bien 

* Redémarres le PC en mode sans échec : Au démarrage tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le [mode sans échec] 

Voir ici si besoin d’aide
windows xp demarrage en mode sans echec
* Ouvre le dossier [SmitfraudFix] et double clic sur Smitfraudfix.cmd, choisit l’option 2 et tu réponds oui à tout. 

Copie/colle le rapport sur le forum stp.

ensuite redémarre en mode normal :

télécharge HijackThis (version francaise) ici: 
hijackthis

Dézippe le dans un dossier prévu à cet effet. 

Par exemple C:\hijackthis < Enregistre le bien dans c : ! 

Démo (merci à Balltrap) :
instalation hijackthis
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis: 
clique sur "faire un scan et sauvegarder le log" (cf démo) 
faire un copier coller du log entier sur le forum 

Démo : (merci à balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm

a+

jahpops · Answer

Logfile of HijackThis v1.99.1
Scan saved at 20:37:30, on 25/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\uatbbdxt.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\winmsgr.exe
C:\WINDOWS\System32\javptfi32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Adèle\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\uatbbdxt.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\urpkgosr.dll",setvm
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [ebyacsi.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Adèle\Local Settings\Application Data\ebyacsi.dll",hlmjzv
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [Network Host Service] javptfi32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Network Host Service] javptfi32.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Séb08 · Answer

ecoute je vais être clair des le départ .

Lis bien et execute ce que je demande sinon on ne s'en sortira pas !

Ou est le rapport Smitfraudfix option 2  ??

jahpops · Answer

Excuse moi mais je suis pas hyper doué
quand je suis en mode sans echec je peux pas me connecter à internet donc je peux pas te renvoyer le rapport de SmitFraudFix

Séb08 · Answer

Alors tu le dis , ca sera plus simple .. :)

Tu redémare en mode sans echec tu lance smitfraudfix option 2, tu le selectionne complètement clci droit avec ta souris copie le (t'inquiète normalement il reste en mémoire) ou tu l'enregitres sur un doc et tu vas le rechercher ensuite.

ET tu redémarres en mode normal et tu le colle (clic droit-> coller)  dans ta prochaine réponse ici.. 

Profites en pour renommer Hijack aussi car je pense que tu es infecté par Vundo...

Fais un clic droit sur l'outil HijackThis! - > "Renommer", puis renomme-le en scan.exe par exemple.

Lance HijackThis! (double clique scan.exe) puis clique Do a system scan and save a logfile, puis poste le rapport ici. 


A+

jahpops · Answer

là je te colle le rapport de smitfraudfix et dans 2 secondes je te met le rapport de hijack (scan.exe)
SmitFraudFix v2.135

Rapport fait à 21:26:47,89, 25/01/2007
Executé à partir de C:\Documents and Settings\AdŠle\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jahpops · Answer

Logfile of HijackThis v1.99.1
Scan saved at 21:36:30, on 25/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\uatbbdxt.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\winmsgr.exe
C:\WINDOWS\System32\javptfi32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ygizkxp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Adèle\Local Settings\Temp\Répertoire temporaire 1 pour scan.exe.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\ygizkxp.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\urpkgosr.dll",setvm
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [ebyacsi.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\Adèle\Local Settings\Application Data\ebyacsi.dll",hlmjzv
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [Network Host Service] javptfi32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Network Host Service] javptfi32.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Séb08 · Answer

Dommage mais ce n'est pas bon .. :)

Le rapport option 2 de Smitfraudfix n'est pas complet mais bon ..

==============================

Avant toutes chose désinstalle et réinstalle correctement hijack car tu l'as mal installé là ou il est , et tu n'auras pas accès aux backups en cas de mauvaise manip donc réinstalle comme suit :

Dézippe le dans un dossier prévu à cet effet. 

Par exemple C:\hijackthis < Enregistre le bien dans c : ! 

Démo (merci à Balltrap) :
instalation hijackthis
http://pageperso.aol.fr/balltrap34/Hijenr.gif

===========================

regarde ou tu l'as installé et comment tu l'as renomer (en gras), c'est celui souligné qu'il faut renommer  :

C:\Documents and Settings\Adèle\Local Settings\Temp\Répertoire temporaire 1 pour scan.exe.zip\HijackThis.exe 

Donc désinstalle Hijack et réinstalle le correctement déja.

-> ensuite renomme le.

a+

jahpops · Answer

merci pour toutes ces info
fo ke je trace (soirée étudiante désolé ;)
demain je refais la manip et je t'envois le truc.
Encore merci

Séb08 · Answer

Ok bonne soirée,ne picole pas trop . ;)

demain faut être en forme ! lol

A+

jahpops · Answer

ouaip, je vais essayer
merci a demain :)

Séb08 · Answer

La bringue a été bonne ? :)

[virus] ultimatecleaner, winantiviruspro...

16 réponses

Discussions similaires