Problème d'infection !!!

pinpin25 Messages postés 5 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Boujour.
un message ne cesse de revenir sur l'écran :
Your computer is infecter!
Windows has détected spyware infection!
It is recomended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!

Je ni comprend rien en anglais, je voudrais de l'aide.

Merci d'avance
Configuration: Windows XP
AOL 9.0

9 réponses

  1. Saucisse21 Messages postés 36 Statut Membre 63
     
    Ceci est un fake c'est un pop up qui signale que tu est infecté mais ce n'est pas vrai... Il ne faut pas cliquer dessus. Il faudrait passer spybot ou adaware ou tout autres logiciels anti malware pour supprimer la fréquence de ces pop ups...
    0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    * Installe le à la racine de C

    * double clic sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd
    * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    * Poste le rapport ici
    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  3. pinpin25 Messages postés 5 Statut Membre
     
    Voici ce que j'ai obtenu

    SmitFraudFix v2.217

    Rapport fait à 17:22:50,23, 26/08/2007
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\System32\printer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Fichiers communs\AOL\1186422448\ee\AOLSoftware.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\AOL 9.0c\aoltray.exe
    C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\aol\1186422448\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
    c:\program files\fichiers communs\aol\1186422448\ee\aolsoftware.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\AOL 9.0c\waol.exe
    C:\Program Files\AOL 9.0c\shellmon.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\WINDOWS\system32\sol.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\NOTEPAD.EXE

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    192.168.200.3 download.microsoft.com
    192.168.200.3 downloads.microsoft.com
    192.168.200.3 go.microsoft.com
    192.168.200.3 microsoft.com
    192.168.200.3 msdn.microsoft.com
    192.168.200.3 office.microsoft.com
    192.168.200.3 support.microsoft.com
    192.168.200.3 windowsupdate.microsoft.com
    192.168.200.3 www.microsoft.com
    192.168.200.3 pandasoftware.com
    192.168.200.3 www.pandasoftware.com

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\printer.exe PRESENT !
    C:\WINDOWS\system32\WinAvXX.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    C:\DOCUME~1\PROPRI~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    Description: WAN (PPP/SLIP) Interface
    DNS Server Search Order: 205.188.146.145

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{08973547-B73A-46E2-9323-17EE1FC15F3E}: NameServer=205.188.146.145
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6910B955-90D6-4736-ADCC-66315369B54B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{08973547-B73A-46E2-9323-17EE1FC15F3E}: NameServer=205.188.146.145
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6910B955-90D6-4736-ADCC-66315369B54B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{6910B955-90D6-4736-ADCC-66315369B54B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok on continue

    Maintenant :

    Utilisation ----- option 2 -Nettoyage :

    * Redémarre l'ordinateur en mode sans échec
    (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    * Double clique sur smitfraudfix.cmd

    * Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

    A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

    Le fix déterminera si le fichier wininet.dll est infecté.

    A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

    * Redémarre en mode normal et poste le rapport ici

    N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
    Attention que l'option 2 de l'outil supprime le fond d'écran !

    0
    1. pinpin25 Messages postés 5 Statut Membre
       
      J'ai fait ce que tu m'as dit, mais je ne retrouve plus le rapport.
      est-ce que je doit recommencer et l'enregistrer sur une clé pour le recupérer?
      A noter que le message d'erreur n'apparait plus.
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > pinpin25 Messages postés 5 Statut Membre
         
        je suppose qu'il a fait le nettoyage.

        * Télécharge HijackThis et poste le rapport stp

        http://pchelpbordeaux.free.fr/logiciels.html
        Tutorial
        http://pchelpbordeaux.free.fr/tuto.html
        Démo en image
        http://pageperso.aol.fr/balltrap34/demohijack.htm

        0
      2. pinpin25 Messages postés 5 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
         
        Hijackthis.exe telecharge, mais je ne peux pas l'ouvrir.
        Message : Hijackthis.exe n'est pas une application Win 32 valide.
        Que dois-je faire?
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Saucisse21 Messages postés 36 Statut Membre 63
     
    Il faudrait faire l'option 2 en mode sans echec (plus simple) car tu as beaucoup de hosts corrompus. sinon pour moi l'analyse m'a l'air correcte enfin sauf les hosts bien sur
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    saucisse21, stp, tu peux me laisser continuer ce topic
    0
  8. Saucisse21 Messages postés 36 Statut Membre 63
     
    oui oui... j'avais pas vu que tu avais repondu, je suis desolé
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      c'est que soit tu sais faire et tu fais, soit tu ne sais pas et tu laisses faire les autres. Tatonner ou donner des approximations n'aident en rien les internautes. ce n'est pas méchant, c'est juste une constatation.
      bonne fin de journée
      0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    assure toi que les extensions soient affichées
    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    et essaye de renommer hijackthis en scanner.exe par exemple

    0
    1. pinpin25 Messages postés 5 Statut Membre
       
      Bonsoir,
      Après les actions "activer et desactiver" les différentes cases, toujours le même message hijackthis.exe n'est pas une application Win 32 valide
      0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    bon, laisse tomber pour l'instant

    peux tu faire un scan antivirus en ligne et poster le rapport ici ensuite

    https://www.bitdefender.fr/

    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    tuto en image

    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0