Virus variante your computer is infected

Résolu
lbros35 Messages postés 17 Statut Membre -  
lbros35 Messages postés 17 Statut Membre -
Salut

J'écris pour un ami qui n'ose plus se servir d'internet. Il a un PC windows XP SP2 équipé de SPybot et d'Avast (à jour). Il a été infecté par 2 trojan repérés par Avast et mis en quarantaine. win32:Privoxy et Win32:VB-ENO.Après traitement par SPybot (des host redirected) et un scan avast qui n'a rien détecté, il a toujours un message d'alerte qui dit :
"Windows security alert. Warning ! Potential Spyware Operation ! YOur computer is making unauthorized copies of your system and internet files. Run full scan now top prevent any unathorised acess to your fils. Click here to download spyware remove" Et il a le choix entre Oui et Non.
Bien sur il a mis non et maintenant il a un triangle jaune à côté de l'heure qui se réveille de temps en temps et dit "Your computer is infected. Windows has detected spyware infection ! It's recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up to date antispyware for you. Click here to protect your computer from spyware !"
Il a réduit sans cliquer.
J'ai consulté pour lui les sujets sur le forum et je suis allé essayer de l'aider.
J'ai vu une solution qui disait de virer les clés de registre avec worldantispy et remplacer les wininet.dll du system32 par des dll clean mais ça n'a rien fait. (au passage, pas facile de trouver un wininet.dll de la même version, sur microsoft elles sont toutes antérieurs à 2006 !). Dans le registre j'ai vu aussi des tas de clés du genre antispy, anstipsion, antiver, ...winantispam ou winantispy mais j'ai pas touché.
En regardant dans system32 j'ai vu 3 programmes avec comme icone un triangle jaune (winAvxx.exe, print.exe et un troisième). J'ai viré le winAvXX.exe et là les messages ont un peu arrêté puis ont repris et le winAvXX.exe est revenu.
Du coup j'ai voulu essayer ce qui était dit dans le sujet virus your computer is infected
Dans ce sujet, ils parlaient de passer dans le panneau de config pour désactiver les messages. Le problème c'est que je me suis aperçu qu'il n'avait plus accès au panneau de configuration alors qu'il est admin. l'accès est revenu temporairement quand j'ai viré le winavxx.exe mais c'est reparti en même temps que les messages sont revenus.
J'ai quand même pu lui amener et lui installer SmitFraudFix. Pour suivre toujours le sujet 2964, j'ai aussi voulu aller chercher Hoster mais je suis tombé sur hostsXpert. Est-ce équivalent ?

Bref, pour suivre quand même un peu le sujet 2964, j'ai fait tourné SmitFraudFix donc voici le rapport où il détecte apparemment les 3 exe bizarre du system32.
Ma question est: dois je continuer la procédure du sujet 2964 même sans enlever l'affichage des messages ? J'ai accès au poste de travail donc je peux désactiver la restauration du système. Et je peux appliquer hostsXpert comme Hoster ou pas ?

Merci de me donner la marche à suivre

Rapport SmitFraudFix

SmitFraudFix v2.219

Rapport fait à 20:20:13.42, 05/09/2007
Executé à partir de C:\Documents and Settings\HP_Propri‚taire\Mes documents\Franck LEMOINE\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\printer.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinRemote.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\WService.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\lotus\wordpro\ltsstart.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hadjajr.ini PRESENT !
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\vtr???.dll PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\HP_PRO~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\hadjajr.ini"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
Configuration: Windows XP
Firefox 2.0.0.6

13 réponses

  1. kris6943 Messages postés 1517 Statut Membre 144
     
    télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images :http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    1
  2. kris6943 Messages postés 1517 Statut Membre 144
     
    passer en urgence a l'option 2 de smitfraud

    en mode sans echec obligatoirement
    0
  3. lbros35 Messages postés 17 Statut Membre 1
     
    faut que je fasse quelque chose avant du genre désactiver la restauration système ou pas ?

    merci
    0
  4. kris6943 Messages postés 1517 Statut Membre 144
     
    non pas indispensable mais tu peux, au prealable, eventuellement faire afficher les fichiers cachés et système en cochant les cases adequat

    et en l'appliquant a tous les dossiers
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lbros35 Messages postés 17 Statut Membre 1
     
    Re

    Merci je vais appliquer ça dès que je peux passer chez mon pote (celui qui a le souci sur son PC).
    J'ai vu que tu avais répondu à Guillo qu'il devait être infecté par le winantivirus pro qui est un virus sous ses faux airs d'antivirus
    C:\WINDOWS\system32\WinAvXX.exe
    Ca dit être mon cas aussi vu que j'ai ce fichier au même endroit.
    J'essaierai déjà l'option 2 de smitfraud et je verrai ensuite
    Merci et à +
    0
  7. lbros35 Messages postés 17 Statut Membre 1
     
    de retour

    C'est un b... sur ce PC !
    Alors le bilan, j'ai fait un SmitFraudFix option 2 en mode sans échec. Il a bien marché la première fois. J'avais fait un HostsXpert avant pour réparer des hosts.
    J'ai redémarré le PC, ça allait puis dès qu ej'ai voulu retourner sur internet encore les mêmesproblèmes et toujours pas d'accès en plus au panneau de config.
    J'ai balancé un coup de rogue qui a détecté et corrigé WinAvXX apparemment.
    J'ai donc remis un coup de SmitFraud en mode sans échac mais là ça s'est mis à em dire au moment de nettoyer le registre que les modifs du registre étraient bloquées par l'administrateru alors qu ela première fois il m'avait rein dit et qu'ne plus je suis en mode admin !!
    Donc je suis reparti en démarrage normal et j'ai fait un hijackthis que voilà.
    Help je craque

    Merci d'avance

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 19:17:37, on 06/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\HP_Propriétaire\Mes documents\Franck LEMOINE\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
    O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
    O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O12 "EP1394D3_001" /M "Stylus Photo R1800"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    O4 - HKLM\..\Run: [WService] WService.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    0
  8. kris6943 Messages postés 1517 Statut Membre 144
     
    essayes de renommer C:\WINDOWS\system32\printer.exe en printer.exe.vir

    ce doit etre un fichier systeme et caché
    quand c'est fait, redémarres le pc
    0
  9. kris6943 Messages postés 1517 Statut Membre 144
     
    comme tu n'es pas sur place prévois avec toi l'installeur de ccleaner

    http://download.piriform.com/ccsetup140.exe

    et lopx car genproc risque de te les demander

    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip
    0
  10. lbros35 Messages postés 17 Statut Membre 1
     
    Bonjour kris6943

    après une longue absence je reviens sur le forum pour dire que mon problème est résolu. J'ai suivi en fait l'évolution du sujet windows security alert#dernier
    et quand le problème a été résolu pour ce sujet, j'ai suivi la même démarche à savoir (je pense que tu as suivi l'autre discussion mais je fais un point quand même) :
    j'ai récupéré mon accès au panneau de config en utilisant le rstrui.exe dans C:\WINDOWS\system32\Restore pour revenir à un point de restauration antérieur à l'infection.
    une fois l'accès au panneau de config retrouvé j'ai désactivé la restauration du système
    ensuite j'ai appliqué clean, SDfix et comboFix comme indiqué par afideg
    Puis le problème a semblé résolu mais par sécurité j'ai appliqué aussi FixWareout MSNFix, The Avenger, Hijack mais je n'ai pas retrouvé de fichiers ou lignes citées par afideg.
    plus de trace non plus de WinAvXX ou WinAVX ou WinAvXX.exe dans C:\WINDOWS\system32\

    Merci en tout cas au forum c'est vraiment cool de pouvoir être aidé par des gens compétents et sympas!

    A+
    0
  11. magali25
     
    j ai le probleme suivant :
    il y a un message d alerte windos sur le pc d un ami qui dit : your computer is making unautorized copies of your system internet files et il n as plus non plus le panneau de configuration .
    j ai essayer de faire comme est dit sur le forum mais ca n as pas marcher quand je fais une restauration du system32\printer.exe ca me dit qu aucun changement n as ete fais . que puis je faire pour enlever ce message
    svp aidez moi
    merci beaucoup
    0
  12. lbros35 Messages postés 17 Statut Membre 1
     
    Désolé je pense qu'il faut que tu crées un nouveau sujet dans le forum
    Perso je ne peux pas t'aider et je ne suis pas sûr que ton message soit suivi vu que mon sujet est résolu.
    Bonne chance
    0
  13. SAAD159 Messages postés 1 Statut Membre
     
    salut jai une icone rouge dans la bare des taches qui dit "your computer is infected! windows has detected spyware infection..."

    quelqu'un peut m'aider svp. merci
    0
  14. lbros35 Messages postés 17 Statut Membre 1
     
    Bonjour,

    regarde à l'étape 9 des discussions de ce sujet et tu auras normalement ta réponse

    Bonne chance
    0