win32:renos-al Fermé

Question

Bonjour, 
apparemment j'ai récupéré un virus ou spyware ? qui s'apellerait win32: renos-al est-ce que quelqu'un connait le remède ?
J'ai essayé tous les anti virus et spyware gratuit que j'ai trouvés sans résultat...
Pour info, régulièrement depuis une fenetre windows scurity alert s'afffiche et m'indique : "your computer is making unauthorized copies of system and internet files. run full scan now to pervent any unathorised access to your files ! Click yes to download spyware remover..."

Kevindu36 · Answer

re

* Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici

++

nelson · Answer

Voici le résultat


SmitFraudFix v2.233

Rapport fait à 14:40:13,06, 29/09/2007
Executé à partir de C:\Documents and Settings\PORT-SIEGE-01\Bureau\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\printer.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32	askswitch.exe
C:\Program Files\TOPRO\TP6810\TPPOLL10.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\SPYWAREfighter\spfprc.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

192.168.200.3	download.microsoft.com
192.168.200.3	downloads.microsoft.com
192.168.200.3	go.microsoft.com
192.168.200.3	microsoft.com
192.168.200.3	msdn.microsoft.com
192.168.200.3	office.microsoft.com
192.168.200.3	support.microsoft.com
192.168.200.3	windowsupdate.microsoft.com
192.168.200.3	www.microsoft.com
192.168.200.3	pandasoftware.com
192.168.200.3	www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt PRESENT !
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORT-SIEGE-01


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORT-SIEGE-01\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\PORT-S~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PORT-S~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 194.2.0.20
DNS Server Search Order: 194.2.0.50

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D53A5FF-5264-4874-9657-C5AA8A4D492B}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D53A5FF-5264-4874-9657-C5AA8A4D492B}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Kevindu36 · Answer

re


Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 ((Si F8 ne marche pas utilise la touche F5)).
dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2,
répond oui à tous ;
Sauvegarde le rapport,
Redémarre en mode normal,
Copie/colle le rapport sauvegardé sur le forum


++

nelson · Answer

voila ce que tu as demandé. 
je fais à la lettrre ce que tu dis... mais je ne comprends rien



SmitFraudFix v2.233

Rapport fait à 14:51:24,23, 29/09/2007
Executé à partir de C:\Documents and Settings\PORT-SIEGE-01\Bureau\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3	ad.doubleclick.net
192.168.200.3	ad.fastclick.net
192.168.200.3	ads.fastclick.net
192.168.200.3	atdmt.com
192.168.200.3	avp.ch
192.168.200.3	avp.com
192.168.200.3	avp.ru
192.168.200.3	awaps.net
192.168.200.3	banner.fastclick.net
192.168.200.3	banners.fastclick.net
192.168.200.3	ca.com
192.168.200.3	click.atdmt.com
192.168.200.3	clicks.atdmt.com
192.168.200.3	customer.symantec.com
192.168.200.3	dispatch.mcafee.com
192.168.200.3	download.mcafee.com
192.168.200.3	downloads-us1.kaspersky-labs.com
192.168.200.3	downloads1.kaspersky-labs.com
192.168.200.3	downloads2.kaspersky-labs.com
192.168.200.3	downloads3.kaspersky-labs.com
192.168.200.3	downloads4.kaspersky-labs.com
192.168.200.3	engine.awaps.net
192.168.200.3	f-secure.com
192.168.200.3	fastclick.net
192.168.200.3	ftp.avp.ch
192.168.200.3	ftp.f-secure.com
192.168.200.3	ftp.kasperskylab.ru
192.168.200.3	ftp.sophos.com
192.168.200.3	ids.kaspersky-labs.com
192.168.200.3	kaspersky-labs.com
192.168.200.3	kaspersky.com
192.168.200.3	liveupdate.symantec.com
192.168.200.3	liveupdate.symantecliveupdate.com
192.168.200.3	mast.mcafee.com
192.168.200.3	mcafee.com
192.168.200.3	my-etrust.com
192.168.200.3	nai.com
192.168.200.3	networkassociates.com
192.168.200.3	phx.corporate-ir.net
192.168.200.3	rads.mcafee.com
192.168.200.3	secure.nai.com
192.168.200.3	securityresponse.symantec.com
192.168.200.3	service1.symantec.com
192.168.200.3	sophos.com
192.168.200.3	symantec.com
192.168.200.3	trendmicro.com
192.168.200.3	update.symantec.com
192.168.200.3	updates.symantec.com
192.168.200.3	updates5.kaspersky-labs.com
192.168.200.3	us.mcafee.com
192.168.200.3	vil.nai.com
192.168.200.3	viruslist.com
192.168.200.3	viruslist.ru
192.168.200.3	virusscan.jotti.org
192.168.200.3	virustotal.com
192.168.200.3	www.avp.ch
192.168.200.3	www.avp.com
192.168.200.3	www.avp.ru
192.168.200.3	www.awaps.net
192.168.200.3	www.ca.com
192.168.200.3	www.f-secure.com
192.168.200.3	www.kaspersky.com
192.168.200.3	www.kaspersky.ru
192.168.200.3	www.mcafee.com
192.168.200.3	www.my-etrust.com
192.168.200.3	www.nai.com
192.168.200.3	www.networkassociates.com
192.168.200.3	www.sophos.com
192.168.200.3	www.symantec.com
192.168.200.3	www.symantec.com 
192.168.200.3	www.trendmicro.com
192.168.200.3	www.viruslist.com
192.168.200.3	www.viruslist.ru
192.168.200.3	www.virustotal.com
192.168.200.3	www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt supprimé
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\PORT-S~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage du registre non souhaité.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Kevindu36 · Answer

re

as tu encore des problèmes 

++

nelson · Answer

J'ai toujours la fenetre windows scurity alert qui s'afffiche et je ne peux toujours pas accéder au panneau de config par le menu paramétre...
Pour info cet accès avait disparu du menu dès l'apparition des problèmes

merci encore

Kevindu36 · Answer

re

execute l'option 3

++

nelson · Answer

Faut-il répondre oui ou non à la réinitialisation des sites de confiance ?
j'ai tapé oui et la une fenêtre "editeur de registre" s'ouvre et m'indique que "la modification du registre a été désactivée opar votre ordinateur" ?????

merci

Kevindu36 · Answer

repond oui pour les sites de confiance!!

++

nelson · Answer

c'est ce que j'ai fait mais j'ai eu 5 fois la fenêtre "editeur de registre" indiquant que "la modification du registre a été désactivée opar votre ordinateur" qui s'est ouverte.
J'ai fait ok à chaque fois et je ne pense pas voir du mieux....
Ya t'il espoir ?

nelson · Answer

Bon y a plus de réponse donc pas beaucoup d'espoirde résoudre mon blème ?
merci quand même d'avoir essayer
Si quelqu'un d'autre à 1 solutions j'suis preneur...
A+

Win32:renos-al

11 réponses

Discussions similaires