Win32:renos-al

nelson -  
 nelson -
Bonjour,
apparemment j'ai récupéré un virus ou spyware ? qui s'apellerait win32: renos-al est-ce que quelqu'un connait le remède ?
J'ai essayé tous les anti virus et spyware gratuit que j'ai trouvés sans résultat...
Pour info, régulièrement depuis une fenetre windows scurity alert s'afffiche et m'indique : "your computer is making unauthorized copies of system and internet files. run full scan now to pervent any unathorised access to your files ! Click yes to download spyware remover..."
Configuration: Windows XP
Internet Explorer 6.0

11 réponses

  1. Kevindu36 Messages postés 649 Statut Membre 6
     
    re

    * Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    * Installe le à la racine de C

    * double clic sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    * Poste le rapport ici

    ++
    0
  2. nelson
     
    Voici le résultat

    SmitFraudFix v2.233

    Rapport fait à 14:40:13,06, 29/09/2007
    Executé à partir de C:\Documents and Settings\PORT-SIEGE-01\Bureau\Smitfraud\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IreIKE.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\basfipm.exe
    C:\Program Files\Equant\Dialer\EACSvrMngr.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\IPSecMon.exe
    C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\printer.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\TOPRO\TP6810\TPPOLL10.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\SPYWAREfighter\spfprc.exe
    C:\Program Files\Digital Line Detect\DLG.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\CoSine Communications\IPSec Dial Client\SafeCfg.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    192.168.200.3 download.microsoft.com
    192.168.200.3 downloads.microsoft.com
    192.168.200.3 go.microsoft.com
    192.168.200.3 microsoft.com
    192.168.200.3 msdn.microsoft.com
    192.168.200.3 office.microsoft.com
    192.168.200.3 support.microsoft.com
    192.168.200.3 windowsupdate.microsoft.com
    192.168.200.3 www.microsoft.com
    192.168.200.3 pandasoftware.com
    192.168.200.3 www.pandasoftware.com

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt PRESENT !
    C:\WINDOWS\system32\printer.exe PRESENT !
    C:\WINDOWS\system32\WinAvXX.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORT-SIEGE-01

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PORT-SIEGE-01\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    C:\DOCUME~1\PORT-S~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PORT-S~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 194.2.0.20
    DNS Server Search Order: 194.2.0.50

    Description: WAN (PPP/SLIP) Interface
    DNS Server Search Order: 80.10.246.130
    DNS Server Search Order: 80.10.246.3

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D53A5FF-5264-4874-9657-C5AA8A4D492B}: NameServer=80.10.246.130 80.10.246.3
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D53A5FF-5264-4874-9657-C5AA8A4D492B}: NameServer=80.10.246.130 80.10.246.3
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  3. Kevindu36 Messages postés 649 Statut Membre 6
     
    re

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 ((Si F8 ne marche pas utilise la touche F5)).
    dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2,
    répond oui à tous ;
    Sauvegarde le rapport,
    Redémarre en mode normal,
    Copie/colle le rapport sauvegardé sur le forum

    ++
    0
  4. nelson
     
    voila ce que tu as demandé.
    je fais à la lettrre ce que tu dis... mais je ne comprends rien

    SmitFraudFix v2.233

    Rapport fait à 14:51:24,23, 29/09/2007
    Executé à partir de C:\Documents and Settings\PORT-SIEGE-01\Bureau\Smitfraud\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    192.168.200.3 ad.doubleclick.net
    192.168.200.3 ad.fastclick.net
    192.168.200.3 ads.fastclick.net
    192.168.200.3 atdmt.com
    192.168.200.3 avp.ch
    192.168.200.3 avp.com
    192.168.200.3 avp.ru
    192.168.200.3 awaps.net
    192.168.200.3 banner.fastclick.net
    192.168.200.3 banners.fastclick.net
    192.168.200.3 ca.com
    192.168.200.3 click.atdmt.com
    192.168.200.3 clicks.atdmt.com
    192.168.200.3 customer.symantec.com
    192.168.200.3 dispatch.mcafee.com
    192.168.200.3 download.mcafee.com
    192.168.200.3 downloads-us1.kaspersky-labs.com
    192.168.200.3 downloads1.kaspersky-labs.com
    192.168.200.3 downloads2.kaspersky-labs.com
    192.168.200.3 downloads3.kaspersky-labs.com
    192.168.200.3 downloads4.kaspersky-labs.com
    192.168.200.3 engine.awaps.net
    192.168.200.3 f-secure.com
    192.168.200.3 fastclick.net
    192.168.200.3 ftp.avp.ch
    192.168.200.3 ftp.f-secure.com
    192.168.200.3 ftp.kasperskylab.ru
    192.168.200.3 ftp.sophos.com
    192.168.200.3 ids.kaspersky-labs.com
    192.168.200.3 kaspersky-labs.com
    192.168.200.3 kaspersky.com
    192.168.200.3 liveupdate.symantec.com
    192.168.200.3 liveupdate.symantecliveupdate.com
    192.168.200.3 mast.mcafee.com
    192.168.200.3 mcafee.com
    192.168.200.3 my-etrust.com
    192.168.200.3 nai.com
    192.168.200.3 networkassociates.com
    192.168.200.3 phx.corporate-ir.net
    192.168.200.3 rads.mcafee.com
    192.168.200.3 secure.nai.com
    192.168.200.3 securityresponse.symantec.com
    192.168.200.3 service1.symantec.com
    192.168.200.3 sophos.com
    192.168.200.3 symantec.com
    192.168.200.3 trendmicro.com
    192.168.200.3 update.symantec.com
    192.168.200.3 updates.symantec.com
    192.168.200.3 updates5.kaspersky-labs.com
    192.168.200.3 us.mcafee.com
    192.168.200.3 vil.nai.com
    192.168.200.3 viruslist.com
    192.168.200.3 viruslist.ru
    192.168.200.3 virusscan.jotti.org
    192.168.200.3 virustotal.com
    192.168.200.3 www.avp.ch
    192.168.200.3 www.avp.com
    192.168.200.3 www.avp.ru
    192.168.200.3 www.awaps.net
    192.168.200.3 www.ca.com
    192.168.200.3 www.f-secure.com
    192.168.200.3 www.kaspersky.com
    192.168.200.3 www.kaspersky.ru
    192.168.200.3 www.mcafee.com
    192.168.200.3 www.my-etrust.com
    192.168.200.3 www.nai.com
    192.168.200.3 www.networkassociates.com
    192.168.200.3 www.sophos.com
    192.168.200.3 www.symantec.com
    192.168.200.3 www.symantec.com
    192.168.200.3 www.trendmicro.com
    192.168.200.3 www.viruslist.com
    192.168.200.3 www.viruslist.ru
    192.168.200.3 www.virustotal.com
    192.168.200.3 www3.ca.com

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt supprimé
    C:\WINDOWS\system32\printer.exe supprimé
    C:\WINDOWS\system32\WinAvXX.exe supprimé
    C:\DOCUME~1\PORT-S~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E3ACEA22-1F2A-48D1-8D64-C92CF2ED8A4D}: NameServer=194.2.0.20,194.2.0.50

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage du registre non souhaité.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Kevindu36 Messages postés 649 Statut Membre 6
     
    re

    as tu encore des problèmes

    ++
    0
  7. nelson
     
    J'ai toujours la fenetre windows scurity alert qui s'afffiche et je ne peux toujours pas accéder au panneau de config par le menu paramétre...
    Pour info cet accès avait disparu du menu dès l'apparition des problèmes

    merci encore
    0
  8. Kevindu36 Messages postés 649 Statut Membre 6
     
    re

    execute l'option 3

    ++
    0
  9. nelson
     
    Faut-il répondre oui ou non à la réinitialisation des sites de confiance ?
    j'ai tapé oui et la une fenêtre "editeur de registre" s'ouvre et m'indique que "la modification du registre a été désactivée opar votre ordinateur" ?????

    merci
    0
  10. Kevindu36 Messages postés 649 Statut Membre 6
     
    repond oui pour les sites de confiance!!

    ++
    0
  11. nelson
     
    c'est ce que j'ai fait mais j'ai eu 5 fois la fenêtre "editeur de registre" indiquant que "la modification du registre a été désactivée opar votre ordinateur" qui s'est ouverte.
    J'ai fait ok à chaque fois et je ne pense pas voir du mieux....
    Ya t'il espoir ?
    0
  12. nelson
     
    Bon y a plus de réponse donc pas beaucoup d'espoirde résoudre mon blème ?
    merci quand même d'avoir essayer
    Si quelqu'un d'autre à 1 solutions j'suis preneur...
    A+
    0