Problèmes multiples et prise de tête

Mecha -  
 Ellyn -
Bonjour,
Mon problème est multiple, tout dabord je semble etre infecté par le Trojan WIN32 Looksky qui m'ouvre sans cesse des messages d'alerte qui m'envoient sur un site ainsi que part d'autres trucs qui m'ouvrent d'autres sites....
J'ai bien essayé de les virer avec des antivirus et des antispyware l'ennui c'est que spybot avast et compagnie ont leur fichier EXE qui se font litteralement "bouffer", je me suis donc rabatu sur des scan online et sur d'autres programmes tels que Ad-aware et a-squared.
J'ai pu supprimer au passage quelques spywares et virus mais les problemes persistent...

J'ai bien essayer d'utiliser SmitfraudFix et SDFix mais quand je sélectionne le mode sans échec, des fichiers se chargent et au moment où devrait apparaitre windows en mode sans échec j'ai un redémarrage à la place. J'ai essayé à plusieures reprises mais impossible de passer en mode sans échec, ou en tout cas pas de cette façon.
Configuration: Windows XP
Firefox 2.0.0.6

34 réponses

  • 1
  • 2
  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

    Si, dans le rapport, tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

    Télécharge Blacklight (le 1er de la page)
    https://europe.f-secure.com/exclude/blacklight/index.shtml

    Enregistre le sur ton Bureau.
    Double-clique fsbl.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    poste ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    1/télécharge et installe le logiciel HijackThis
    http://pchelpbordeaux.free.fr/logiciels.html
    tuto pour l’utiliser
    regarde ici c'est parfaitement expliqué en images
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    0
  2. Mecha
     
    Pour l'instant j'ai ça avec EliBagle:

    Tue Sep 18 14:25:19 2007
    EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle
    Eliminada Carpeta "%WinDir%\exefld"

    J'ai envoyé le fichier et j'attend donc demain pour la nouvelle version.

    Blacklight m'a donné ça:

    09/18/07 15:14:24 [Info]: BlackLight Engine 1.0.64 initialized
    09/18/07 15:14:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    09/18/07 15:14:25 [Note]: 7019 4
    09/18/07 15:14:25 [Note]: 7005 0
    09/18/07 15:14:42 [Note]: 7006 0
    09/18/07 15:14:42 [Note]: 7011 1936
    09/18/07 15:14:42 [Note]: 7026 0
    09/18/07 15:14:42 [Note]: 7026 0
    09/18/07 15:14:45 [Note]: FSRAW library version 1.7.1022
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
    09/18/07 15:16:31 [Note]: 10002 3
    09/18/07 15:16:31 [Note]: 10002 2
    09/18/07 15:16:31 [Note]: 10002 2
    09/18/07 15:17:09 [Note]: 10002 2
    09/18/07 15:17:09 [Note]: 10002 2
    09/18/07 15:17:29 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
    09/18/07 15:17:29 [Note]: 10002 2
    09/18/07 15:20:00 [Note]: 7007 0

    Et enfin HijackThis ceci:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:26:15, on 18/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\PROGRA~1\INCRED~1\bin\ImApp.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Meyer\Bureau\Nouveau dossier (2)\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: MSVPS System - {ACD85107-9CF9-4C9E-B0B7-39940A0017C0} - C:\WINDOWS\nsduo.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O21 - SSODL: msmhost - {08710C4B-5B68-43AC-915E-980144C0B57D} - C:\WINDOWS\msmhost.dll
    O21 - SSODL: msmdev - {4F65B38C-1E9C-4A6D-BD62-18584085A7F5} - C:\WINDOWS\msmdev.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    pas la peine on va essayer de finir la désinfection ce soir....
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :

    Paste List of Files/Folders to be moved.
    c:\Program Files\Movie Maker\Shared
    c:\Program Files\Movie Maker
    c:\WINDOWS\system32\drivers\srosa.sys 

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
    http://siri.urz.free.fr/Fix
    Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    Poste le rapport
    Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité

    poste les rapports obtenus
    OTMoveIt et SmitFraud
    0
  4. Mecha
     
    Désolé je n'ai pas pu repaser avant le matin.

    Rapport de OTMoveIt:

    c:\Program Files\Movie Maker\Shared\Profiles moved successfully.
    c:\Program Files\Movie Maker\Shared moved successfully.
    c:\Program Files\Movie Maker\MUI\040C moved successfully.
    c:\Program Files\Movie Maker\MUI moved successfully.
    Folder cleanup failed. c:\Program Files\Movie Maker scheduled to be deleted on reboot.
    c:\WINDOWS\system32\drivers\srosa.sys moved successfully.

    Created on 09/19/2007 06:55:59

    Tous les fichiers concernés semblent avoir étés envoyés dans: C:\_OTMoveIt

    Rapport de SmitFraud:

    SmitFraudFix v2.225

    Rapport fait à 7:04:50,01, 19/09/2007
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\main_uninstaller.exe PRESENT !
    C:\WINDOWS\msmdev.dll PRESENT !
    C:\WINDOWS\msmhost.dll PRESENT !
    C:\WINDOWS\nsduo.dll PRESENT !
    C:\WINDOWS\privacy_danger PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Meyer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Meyer\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Meyer\Favoris

    C:\DOCUME~1\Meyer\Favoris\Error Cleaner.url PRESENT !
    C:\DOCUME~1\Meyer\Favoris\Privacy Protector.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    C:\DOCUME~1\Meyer\Bureau\Error Cleaner.url PRESENT !
    C:\DOCUME~1\Meyer\Bureau\Privacy Protector.url PRESENT !
    C:\DOCUME~1\Meyer\Bureau\Spyware?Malware Protection.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\VideoAccessCodec\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
    "SubscribedURL"=""
    "FriendlyName"="Privacy Protection"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="wbsys.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je suis peu là aujourd'hui
    la suite en coup de vent...
    Redémarrer l'ordinateur en mode sans échec , si tu n'y arrives pas, tu n'insistes pas, c'est l'infection baggle qui désactive le mode sans échec et cela veut dire qu'elle est encore présente

    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    · Double cliquer sur Smitfraudfix.exe.
    · Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
    · A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
    · A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
    · Quitter le programme en appuyant sur Q.
    N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
    Attention que l'option 2 de l'outil supprime le fond d'écran !

    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this
    de retour vers 17 h
    0
  7. Mecha
     
    Je vien d'essayer une fois de passer en mode sans échec mais comme les fois précédentes, aprés avoir séléctionné le mode sans échec, il a redemarré avant le chargement de windows...
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Je le craignais un peu
    supprime la version de Elibagla que tu as
    retourne sur le lien que je t'ai fourni et télécharge à nouveau Elibagla et recommence la manip
    ensuite tu essaies à nouveau d'aller en mode sans échec, toujours sans insister.
    si cela fonctionne, tu passes la partie 2 de smitfraud
    si cela ne fonctionne pas, tu refais un rapport blacklight et tu postes le tout sur le forum
    elibagla, smitfraud si tu as pu le faire et blacklight

    pas moyen d'accéder au forum facilement aujourd'hui!!!
    0
  9. Mecha
     
    Wed Sep 19 19:17:00 2007
    EliBagle v10.56 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\Documents and Settings\Meyer\Local Settings\Application Data\IM\Identities\{3D812D8A-AFFB-46FB-AFD5-F13578CA74BC}\Message Store\Attachments\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle
    C:\Documents and Settings\Meyer\Local Settings\Application Data\IM\Identities\{3D812D8A-AFFB-46FB-AFD5-F13578CA74BC}\Message Store\Attachments\{CBE065D9-8DD4-4F49-98FA-3B11D3B32DB2}\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle
    C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle

    Jai essayé une fois de lancer le mode sans échec mais le résultat à été le même qu'avant...

    09/19/07 19:30:34 [Info]: BlackLight Engine 1.0.64 initialized
    09/19/07 19:30:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    09/19/07 19:30:34 [Note]: 7019 4
    09/19/07 19:30:34 [Note]: 7005 0
    09/19/07 19:30:38 [Note]: 7006 0
    09/19/07 19:30:38 [Note]: 7011 1712
    09/19/07 19:30:38 [Note]: 7026 0
    09/19/07 19:30:39 [Note]: 7026 0
    09/19/07 19:30:41 [Note]: FSRAW library version 1.7.1022
    09/19/07 19:34:03 [Note]: 7007 0

    Blacklight dit qu'il n'a rien trouvé.
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Réparation mode sans échec
    Essaye ceci :
    Fais un clic droit ici
    http://www.malekal.com/download/SafeBoot.reg
    et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton bureau.
    Double clique dessus et accepte la fusion avec le registre.
    Tiens au courant

    réeassaie d'aller an mode sans échec, n'insiste pas si tu n'y arrives pas!
    0
  11. Mecha
     
    Le mode sans échec à marché, j'ai fais la 2e partie de smitfraud:

    SmitFraudFix v2.225

    Rapport fait à 19:48:31,82, 19/09/2007
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\main_uninstaller.exe supprimé
    C:\WINDOWS\msmdev.dll supprimé
    Deleting [HKEY_CLASSES_ROOT\CLSID\{4F65B38C-1E9C-4A6D-BD62-18584085A7F5}]
    C:\WINDOWS\msmhost.dll supprimé
    Deleting [HKEY_CLASSES_ROOT\CLSID\{08710C4B-5B68-43AC-915E-980144C0B57D}]
    C:\WINDOWS\nsduo.dll supprimé
    C:\WINDOWS\privacy_danger\ supprimé
    C:\DOCUME~1\Meyer\Bureau\Error Cleaner.url supprimé
    C:\DOCUME~1\Meyer\Bureau\Privacy Protector.url supprimé
    C:\DOCUME~1\Meyer\Bureau\Spyware?Malware Protection.url supprimé
    C:\DOCUME~1\Meyer\Favoris\Error Cleaner.url supprimé
    C:\DOCUME~1\Meyer\Favoris\Privacy Protector.url supprimé
    C:\Program Files\VideoAccessCodec\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Au retour en mode normal je remarque déjà (à part la disparition du fond d'écrant et du skin modifié de windows...mais ça c'est pas une perte...) que les 3 racourcis qui réapparaissaient à chaque démarrages sur le bureau et dans les favoris IE ne sont plus là.
    Pour l'instant je n'ai pas été dérangé par des fenètres qui s'ouvrent toutes seules...
    A première vu le problème semble réglé^^
    à moin qu'il reste encore une manip à faire?
    0
  12. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    il faut toujours vérifier qu'il ne reste rien! lol!!!!
    donc tu me remets un rapport hijack this stp
    0
  13. Mecha
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:10:05, on 19/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Meyer\Bureau\Nouveau dossier (2)\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
    0
  14. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    réactive ou installe un antivirus urgent!!!!choisis Antivir en gratuit si tu n'en as pas
    https://www.pcastuces.com/logitheque/antivir.htm
    un tuto pour le paramétrer
    http://mr.dodo.perso.cegetel.net/tuto21.htm

    installe aussi un pare feu, par exemple ZoneAlarm
    https://www.pcastuces.com/logitheque/zonealarm.htm
    un tuto pour le paramétrer
    http://securite-facile.ovh.org/zonealarm.php

    lance hijack this pour un scan et coche les lignes suivantes
    O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    ferme toutes tes fenêtres y compris internet et clique sur fixer l'objet

    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    poster le rapport ici ensuite et me dire si tu as encore des soucis
    0
  15. Mecha
     
    Voilà j'ai tout installé zone alarm est actif et antivir protège l'ordi, je ferais un scan avec plus tard kan celui de bitdefender sera fini... à la vitesse à laquelle ça avance je n'aurais pas le rapport avant demain matin...
    Par contre zone alarme me signal kil y a 2 "Generic Host Process for Win32 Services" qui demandent acces à internet, j'ai accepté car ça me semblais pas vraiment suspect mais je ne sais pas vraiment ce que c'est...
    0
  16. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    cela dépend de ta connection, sur certain PC il faut l'accepter, sur d'autres le refuser...
    refuse le dans un 1er temps, si internet fonctionne bien, tu le laisses ainsi, si par contre, tu as des problèmes tu l'acceptes...
    0
  17. Mecha
     
    Ha zut je les ai accepté et maintenant je voi pas comment les bloquer...
    0
  18. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu ouvres zone alarme et tu regardes dans "contrôle des programmes"
    tu décoches la ligne avec un clic droit
    regarde sur ce tuto c'est très bien expliqué
    http://securite-facile.ovh.org/zonealarm.php
    à demain
    0
  19. Mecha
     
    ha oui merci j'avais pas vu l'onglet "programme" -_-'
    Bonne nuit et à demain
    0
  20. Mecha
     
    voilà le rapport de bitdefender

    BitDefender Online Scanner
    Scan report generated at: Thu, Sep 20, 2007 - 00:03:24
    Scan path: C:\;D:\;E:\;F:\;

    Statistics

    Time
    02:11:49

    Files
    561922

    Folders
    7990

    Boot Sectors
    4

    Archives
    3124

    Packed Files
    13866

    Results

    Identified Viruses
    3

    Infected Files
    4

    Suspect Files
    2

    Warnings
    0

    Disinfected
    0

    Deleted Files
    6

    Engines Info

    Virus Definitions

    820910

    Engine build

    AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action

    Disinfect

    Second Action

    Delete

    Heuristics

    Yes

    Enable Warnings

    Yes

    Scanned Extensions

    *;

    Exclude Extensions

    Scan Emails

    Yes

    Scan Archives

    Yes

    Scan Packed

    Yes

    Scan Files

    Yes

    Scan Boot

    Yes

    Scanned File

    Status

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53

    Infected with: DeepScan:Generic.Malware.SP!V.B7D7F65A

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53

    Disinfection failed

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53

    Deleted

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)

    Updated

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)

    Updated

    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx

    Update failed

    C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe

    Infected with: Trojan.Downloader.Zlob.NI

    C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe

    Disinfection failed

    C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe

    Deleted

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe

    Suspected of: Trojan.Downloader.Zlob.AAOM

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe

    Disinfection failed

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe

    Deleted

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe

    Suspected of: Trojan.Downloader.Zlob.AAOM

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe

    Disinfection failed

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe

    Deleted

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000

    Infected with: Trojan.Downloader.Zlob.AAGR

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000

    Disinfection failed

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000

    Deleted

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)

    Update failed

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe

    Infected with: Trojan.Downloader.Zlob.NI

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe

    Disinfection failed

    C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe

    Deleted

    Pendant que Bitdefender scannait mon ordi antivir à commencé à me signaler la présence de plusieurs trucs:

    Exported events:

    19/09/2007 23:53 [Guard] Malware found
    Virus or unwanted program 'TR/Dldr.Bagle.DS.2 [TR/Dldr.Bagle.DS.2]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP387\A0043421.sys.
    Action performed: Delete file

    19/09/2007 23:53 [Guard] Malware found
    Virus or unwanted program 'TR/Agent.bmn.1 [TR/Agent.bmn.1]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043297.ocx.
    Action performed: Delete file

    19/09/2007 23:53 [Guard] Malware found
    Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0043038.exe.
    Action performed: Delete file

    19/09/2007 23:52 [Guard] Malware found
    Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042849.EXE.
    Action performed: Delete file

    19/09/2007 23:52 [Guard] Malware found
    Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042848.EXE.
    Action performed: Delete file

    19/09/2007 23:52 [Guard] Malware found
    Virus or unwanted program 'TR/Dldr.Bagle.DS.2 [TR/Dldr.Bagle.DS.2]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042207.sys.
    Action performed: Delete file

    19/09/2007 23:52 [Guard] Malware found
    Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042206.exe.
    Action performed: Delete file

    19/09/2007 23:51 [Guard] Malware found
    Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040192.exe.
    Action performed: Delete file

    19/09/2007 23:51 [Guard] Malware found
    Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040191.exe.
    Action performed: Delete file

    19/09/2007 23:51 [Guard] Malware found
    Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
    detected in file 'C:\System Volume
    Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040190.exe.
    Action performed: Delete file
    0
  21. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je ne sais pas trop si cela t'est d'une utilité primordiale, mais perso, je virerais car il y avait de l'infection....
    C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe
    comme je ne connais pas, je te laisse le choix!

    le reste ce sont des courriers infectés
    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)
    C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53
    perso, je viderais cette boîte de tout ce qui n'est pas important ou vital pour toi...

    le reste c'est ta restauration système, y compris les alertes de Antivir!!on va régler ce problème!!

    as tu encore des soucis?

    si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
    Un tuto
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
    et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

    https://forum.pcastuces.com/default.asp

    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    réactive ta restauration
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
    démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0
  • 1
  • 2