virus variante your computer is infected Résolu/Fermé

Question

Salut

J'écris pour un ami qui n'ose plus se servir d'internet. Il a un PC windows XP SP2 équipé de SPybot et d'Avast (à jour). Il a été infecté par 2 trojan repérés par Avast et mis en quarantaine. win32:Privoxy et Win32:VB-ENO.Après traitement par SPybot (des host redirected) et un scan avast qui n'a rien détecté, il a toujours un message d'alerte qui dit :
"Windows security alert. Warning ! Potential Spyware Operation ! YOur computer is making unauthorized copies of your system and internet files. Run full scan now top prevent any unathorised acess to your fils. Click here to download spyware remove" Et il a le choix entre Oui et Non.
Bien sur il a mis non et maintenant il a un triangle jaune à côté de l'heure qui se réveille de temps en temps et dit "Your computer is infected. Windows has detected spyware infection ! It's recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up to date antispyware for you. Click here to protect your computer from spyware !"
Il a réduit sans cliquer.
J'ai consulté pour lui les sujets sur le forum et je suis allé essayer de l'aider.
J'ai vu une solution qui disait de virer les clés de registre avec worldantispy et remplacer les wininet.dll du system32 par des dll clean mais ça n'a rien fait. (au passage, pas facile de trouver un wininet.dll de la même version, sur microsoft elles sont toutes antérieurs à 2006 !). Dans le registre j'ai vu aussi des tas de clés du genre antispy, anstipsion, antiver, ...winantispam ou winantispy mais j'ai pas touché.
En regardant dans system32 j'ai vu 3 programmes avec comme icone un triangle jaune (winAvxx.exe, print.exe et un troisième). J'ai viré le winAvXX.exe et là les messages ont un peu arrêté puis ont repris et le winAvXX.exe est revenu.
Du coup j'ai voulu essayer ce qui était dit dans le sujet virus your computer is infected
Dans ce sujet, ils parlaient de passer dans le panneau de config pour désactiver les messages. Le problème c'est que je me suis aperçu qu'il n'avait plus accès au panneau de configuration alors qu'il est admin. l'accès est revenu temporairement quand j'ai viré le winavxx.exe mais c'est reparti en même temps que les messages sont revenus.
J'ai quand même pu lui amener et lui installer SmitFraudFix. Pour suivre toujours le sujet 2964, j'ai aussi voulu aller chercher Hoster mais je suis tombé sur hostsXpert. Est-ce équivalent ?

Bref, pour suivre quand même un peu le sujet 2964, j'ai fait tourné SmitFraudFix donc voici le rapport où il détecte apparemment les 3 exe bizarre du system32.
Ma question est: dois je continuer la procédure du sujet 2964 même sans enlever l'affichage des messages ? J'ai accès au poste de travail donc je peux désactiver la restauration du système. Et je peux appliquer hostsXpert comme Hoster ou pas ?

Merci de me donner la marche à suivre

Rapport SmitFraudFix

SmitFraudFix v2.219

Rapport fait à 20:20:13.42, 05/09/2007
Executé à partir de C:\Documents and Settings\HP_Propri‚taire\Mes documents\Franck LEMOINE\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\printer.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinRemote.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\WService.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\lotus\wordpro\ltsstart.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hadjajr.ini PRESENT !
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\vtr???.dll PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\HP_PRO~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\system32\hadjajr.ini"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A38021FC-0AE9-438F-A7D0-29F1AC77D3B5}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

kris6943 · Answer

passer en urgence a l'option 2 de smitfraud 

en mode sans echec obligatoirement

lbros35 · Answer

faut que je fasse quelque chose avant du genre désactiver la restauration système ou pas ?

merci

kris6943 · Answer

non pas indispensable mais tu peux, au prealable, eventuellement faire afficher les fichiers cachés et système en cochant les cases adequat 

et en l'appliquant a tous les dossiers

lbros35 · Answer

Re

Merci je vais appliquer ça dès que je peux passer chez mon pote (celui qui a le souci sur son PC).
J'ai vu que tu avais répondu à Guillo qu'il devait être infecté par le winantivirus pro  qui est un virus sous ses faux airs d'antivirus
C:\WINDOWS\system32\WinAvXX.exe
Ca dit être mon cas aussi vu que j'ai ce fichier au même endroit.
J'essaierai déjà l'option 2 de smitfraud et je verrai ensuite
Merci et à +

lbros35 · Answer

de retour

C'est un b... sur ce PC !
Alors le bilan, j'ai fait un SmitFraudFix option 2 en mode sans échec. Il a bien marché la première fois. J'avais fait un HostsXpert avant pour réparer des hosts.
J'ai redémarré le PC, ça allait puis dès qu ej'ai voulu retourner sur internet encore les mêmesproblèmes et toujours pas d'accès en plus au panneau de config.
J'ai balancé un coup de rogue qui a détecté et corrigé WinAvXX apparemment.
J'ai donc remis un coup de SmitFraud en mode sans échac mais là ça s'est mis à em dire au moment de nettoyer le registre que les modifs du registre étraient bloquées par l'administrateru alors qu ela première fois il m'avait rein dit et qu'ne plus je suis en mode admin !!
Donc je suis reparti en démarrage normal et j'ai fait un hijackthis que voilà.
Help je craque

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:17:37, on 06/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\HP_Propriétaire\Mes documents\Franck LEMOINE\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P24 "EPSON Stylus Photo R1800" /O12 "EP1394D3_001" /M "Stylus Photo R1800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

kris6943 · Answer

essayes de renommer C:\WINDOWS\system32\printer.exe en printer.exe.vir

ce doit etre un fichier systeme et caché
quand c'est fait, redémarres le pc

kris6943 · Answer

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat  et poste le contenu du rapport qui s'ouvre

Aide en images :http://www.alt-shift-return.org/Info/GenProc-HowTo.html

kris6943 · Answer

comme tu n'es pas sur place prévois avec toi l'installeur de ccleaner 

http://download.piriform.com/ccsetup140.exe

et lopx car genproc risque de te  les demander

  
 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

lbros35 · Answer

Bonjour kris6943

après une longue absence je reviens sur le forum pour dire que mon problème est résolu. J'ai suivi en fait l'évolution du sujet windows security alert#dernier
et quand le problème a été résolu pour ce sujet, j'ai suivi la même démarche à savoir (je pense que tu as suivi l'autre discussion mais je fais un point quand même) :
j'ai récupéré mon accès au panneau de config en utilisant le rstrui.exe dans C:\WINDOWS\system32\Restore pour revenir à un point de restauration antérieur à l'infection.
une fois l'accès au panneau de config retrouvé j'ai désactivé la restauration du système
ensuite j'ai appliqué clean, SDfix et comboFix comme indiqué par afideg
Puis le problème a semblé résolu mais par sécurité j'ai appliqué aussi FixWareout MSNFix, The Avenger, Hijack mais je n'ai pas retrouvé de fichiers ou lignes citées par afideg.
plus de trace non plus de  WinAvXX ou WinAVX ou WinAvXX.exe dans C:\WINDOWS\system32\ 

Merci en tout cas au forum c'est vraiment cool de pouvoir être aidé par des gens compétents et sympas!

A+

magali25 · Answer

j ai le probleme suivant : 
il y a un message d alerte windos sur le pc d un ami qui dit : your computer is making unautorized copies of  your system internet files et il n as plus non plus le panneau de configuration . 
j ai essayer de faire comme est dit sur le forum mais ca n as pas marcher quand je fais une restauration du system32\printer.exe ca me dit qu aucun changement n as ete fais . que puis je faire pour enlever ce message 
svp aidez moi 
merci beaucoup

lbros35 · Answer

Désolé je pense qu'il faut que tu crées un nouveau sujet dans le forum
Perso je ne peux pas t'aider et je ne suis pas sûr que ton message soit suivi vu que mon sujet est résolu.
Bonne chance

SAAD159 · Answer

salut jai une icone rouge dans la bare des taches qui dit "your computer is infected! windows has detected spyware infection..."

quelqu'un peut m'aider svp.  merci

lbros35 · Answer

Bonjour, 

regarde à l'étape 9 des discussions de ce sujet et tu auras normalement ta réponse

Bonne chance

Virus variante your computer is infected

13 réponses

Discussions similaires