W32.Myzor.FK@yf NetWorm-i.Virus@fp

Résolu
jolekoso -  
Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
J'ai plein de virus, des pages internet qui s'ouvre, une bulle qui affiche des nom de virus ect......
voici mon résumé fait avec SmitfraudFix

SmitFraudFix v2.253

Rapport fait à 21:54:44,57, 19/11/2007
Executé à partir de C:\Documents and Settings\ange\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\system32\service.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ange

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ange\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ange\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci de votre aide
Configuration: Windows XP
Opera 9.22

3 réponses

  1. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    Salut à toi, suis ma démarche dans l'ordre:

    -Tu désactives l'Accès à distance de Windows:
    Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
    L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.

    -Tu dois avoir accès à tous les fichiers de ton système:
    Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.

    -Tu désactives l'Affichage des messages:
    Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver".
    L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
    Si cela est déjà fait, c'est bien, ne touche à rien.

    -Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
    cliques sur le bouton "Lancer TotalScan !" (vert foncé),
    coches l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
    cliques sur le bouton "Scan Now",
    installes le Plug-in ou ActiveX demandé au préalable,
    copies et colles le rapport obtenu (un page de texte bloc-note).

    -Tu fais un scan avec HijackThis.
    Pour faire un scan HJTH, il faut :
    télécharger ce programme ( http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download ),
    sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair),
    installe le sur ton PC.
    Ouvres HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),
    cliques sur le bouton "Do a system scan and save a log file",
    attends qu'il est fini le scan de ton PC,
    une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ;
    copies et colles ce rapport sur un nouveau message.

    0
    1. eddyjo Messages postés 20 Statut Membre 1
       
      bonjour Darckiller j'ai le meme problem, mon pc est infecte par
      psw.x-vir trojan,
      trojan-spy.win32@mx et
      Networm-i.virus@fp

      il y a des fenetres internet qui s'ouvrent toutes seules sans cesse et me proposent de telecharger des antispyware. je me demande si ces sites et ces liens sont fiables.

      voici les liens de pages:
      https://www.hugedomains.com/domain_profile.cfm?d=virusheat&e=com
      http://www.antispyshield.com/?advid=177
      http://www.virusranger.com/?aid=5338

      j'ai comme antivirus AVG FreeEdition v7.5 qui est àjour mais inefficace
      j'ai telecharger et installer AVG Antispyware 7.5, j'ai fait la mise àjour mais il est inefficace.

      merci pour votre attention
      Configuration: Windows XP sp2 IE 6


      Important:
      j'ai suivi les differentes etapes que vous avez conseillez à jolekoso dans cette discussion et voici les resultats des tests que j'ai effectuer:

      TotalScan en ligne avec Panda: j'ai obtenu ceci apres clic sur enregistrer dans la page resultat du test
      ;***********************************************************************************************************************************************************************************
      ANALYSIS: 2008-02-18 16:05:19
      PROTECTIONS: 1
      MALWARE: 26
      SUSPECTS: 0
      ;***********************************************************************************************************************************************************************************
      PROTECTIONS
      Description Version Active Updated
      ;===================================================================================================================================================================================
      AVG 7.5.503 7.5.503 Yes No
      ;===================================================================================================================================================================================
      MALWARE
      Id Description Type Active Severity Disinfectable Disinfected Location
      ;===================================================================================================================================================================================
      00139535 Application/Processor HackTools No 0 Yes ........... No .............. C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\Process.exe
      00139535 Application/Processor HackTools No 0 Yes .......... No ............. C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/Process.exe]
      00149116 Cookie/Ccbill TrackingCookie No 0 Yes ........... No ............ C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.ccbill.com/]
      00167704 Cookie/Xiti TrackingCookie No 0 Yes ........... No ............. C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.xiti.com/]
      00167704 Cookie/Xiti TrackingCookie No 0 Yes ........... No ............ C:\Documents and Settings\Admin\Cookies\admin@xiti[1].txt
      00168061 Cookie/Apmebf TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.apmebf.com/]
      00168061 Cookie/Apmebf TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Cookies\admin@apmebf[1].txt
      00172449 Cookie/MetriWeb TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.metriweb.be/]
      00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.adultfriendfinder.com/]
      00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.adultfriendfinder.com/]
      00241818 Dialer.FFQ Dialers No 0 No ............ No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\sysinetsvc32_FR_XP.cab[sysinetsvc32.dll]
      00241818 Dialer.FFQ Dialers No 0 Yes ...................No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\sysinetsvc32_FR_XP\sysinetsvc32.dll
      00288208 Application/HideWindow.S HackTools No 0 Yes ............ No ............ C:\WINDOWS\system32\cmdow.exe
      00517584 Application/SuperFast HackTools No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\restart.exe
      00517584 Application/SuperFast HackTools No 0 Yes ............. No ......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/restart.exe]
      02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes ............ No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\Reboot.exe
      02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes .............. No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/Reboot.exe]
      02656918 Adware/VirusRanger Adware No 0 No .............. No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[VirusRanger.exe]
      02870155 Application/VirusRanger HackTools No 0 No .............. No ............ C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[asc4.dll]
      02870162 Application/VirusRanger HackTools No 0 No .............. No ............ C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[bpw.dll]
      02887528 Cookie/AdvancedCleaner TrackingCookie No 0 Yes .............. No ............. C:\Documents and Settings\Admin\Cookies\admin@advancedcleaner[1].txt
      02890030 Dialer.KXO Dialers No 0 Yes .............. No ............ C:\WINDOWS\system32\nsinet.exe
      02898906 Constructor/WMFMaker SecRisk No 0 Yes ............ No ............ H:\ne0kS.exe
      02899253 Cookie/AntiSpyKit TrackingCookie No 0 Yes ............ No ............ C:\Documents and Settings\Admin\Cookies\admin@antispykit[1].txt
      02900561 Adware/VirusHeat Adware No 0 Yes ............ No ............ C:\Program Files\NetProject\waun.exe
      02900700 Trj/Zlob.HN Virus/Trojan Yes 2 Yes .............. No ........... C:\PROGRAM FILES\NETPROJECT\SCM.EXE
      02900734 Adware/Popuper Adware Yes 1 Yes ............... No .......... C:\PROGRAM FILES\NETPROJECT\SCIT.EXE
      02900738 Application/VirusHeat HackTools Yes 0 Yes .............. No ............ C:\PROGRAM FILES\HELPER\1202904675.DLL
      02900929 Application/VirusHeat HackTools Yes 0 Yes ............... No ........... C:\WINDOWS\SYSTEM32\EEIOQ.DLL
      02900930 Application/VirusHeat HackTools No 0 Yes .............. No ........... C:\Documents and Settings\Admin\Local Settings\Temp\laf5.exe
      02901030 Adware/MultiMedia Adware Yes 1 Yes ............... No ........... C:\PROGRAM FILES\NETPROJECT\SBMDL.DLL
      02901033 Adware/VirusHeat Adware Yes 0 Yes ................ No ............ C:\PROGRAM FILES\NETPROJECT\SBMNTR.EXE
      02901035 Adware/VirusHeat Adware No 0 Yes ................ No ............. C:\Program Files\NetProject\sbun.exe
      ;===================================================================================================================================================================================
      SUSPECTS
      Location
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================

      et voici le copie/coller que j'ai fait apres le test:
      Analyse complète : Recherche de tous les logiciels malveillants
      Analyse
      Recherche de virus, logiciels espions, chevaux de Troie et autres menaces. L'outil utilise également des technologies heuristiques pour détecter les virus inconnus.
      100%

      Elément en cours :
      Eléments analysés : 88290
      Eléments avec virus, logiciels espions, chevaux de Troie, etc. détectés : 33
      Fichiers suspects détectés : 0

      Résultats
      PC infecté

      1 exemple de logiciel malveillant dangereux.
      25 exemples de logiciels malveillants moyennement dangereux.

      Nous avons détecté que AVG 7.5.503 est obsolète.
      El texto que corresponda en cada momento
      Après l'analyse complète de votre PC, aucun logiciel malveillant ACTIF ou LATENT n'a été détecté.
      Devenez membre de la communauté TotalScan Pro
      Désinfection incluse !

      Détails de l'analyse

      Niveau de risque élevé (1)
      Trj/Zlob.HN Virus Actif/Active Afficher +Infos
      C:\PROGRAM FILES\NETPROJECT\SCM.EXE

      Niveau de risque moyen (3)
      Adware/Popuper Adware (logiciel publicitaire) Actif/Active Afficher +Infos
      C:\PROGRAM FILES\NETPROJECT\SCIT.EXE
      Adware/MultiMe... Adware (logiciel publicitaire) Actif/Active Afficher +Infos
      C:\PROGRAM FILES\NETPROJECT\SBMDL.DLL
      Trj/Rebooter.J Virus Latent(e) Afficher +Infos
      C:\Documents and Settings...x\SmitfraudFix\Reboot.exe
      C:\Documents and Settings...[SmitfraudFix/Reboot.exe]

      Niveau de risque faible (22)
      Adware/VirusHe... Adware (logiciel publicitaire) Actif/Active Afficher +Infos
      C:\PROGRAM FILES\NETPROJECT\SBMNTR.EXE
      Application/Vi... Application de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...ts\vrg_setup.exe[bpw.dll]
      Cookie/MetriWe... Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...ookies.txt[.metriweb.be/]
      Adware/VirusHe... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
      C:\Program Files\NetProject\sbun.exe
      Application/Su... Application de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...SmitfraudFix/restart.exe]
      C:\Documents and Settings...\SmitfraudFix\restart.exe
      Cookie/adultfr... Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...[.adultfriendfinder.com/]
      Adware/VirusHe... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
      C:\Program Files\NetProject\waun.exe
      Cookie/AntiSpy... Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...s\admin@antispykit[1].txt
      Adware/VirusRa... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
      C:\Documents and Settings...etup.exe[VirusRanger.exe]
      Application/Hi... Application de surveillance Latent(e) Afficher +Infos
      C:\WINDOWS\system32\cmdow.exe
      Cookie/Ccbill Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...cookies.txt[.ccbill.com/]
      Cookie/Advance... Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...in@advancedcleaner[1].txt
      Dialer.FFQ Numéroteur Latent(e) Afficher +Infos
      C:\Documents and Settings..._XP.cab[sysinetsvc32.dll]
      C:\Documents and Settings...32_FR_XP\sysinetsvc32.dll
      Application/Vi... Application de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...s\vrg_setup.exe[asc4.dll]
      Application/Vi... Application de surveillance Actif/Active Afficher +Infos
      C:\PROGRAM FILES\HELPER\1202904675.DLL
      Dialer.KXO Numéroteur Latent(e) Afficher +Infos
      C:\WINDOWS\system32\nsinet.exe
      Constructor/WM... Risque de sécurité Latent(e) Afficher +Infos
      H:\ne0kS.exe
      Application/Vi... Application de surveillance Actif/Active Afficher +Infos
      C:\WINDOWS\SYSTEM32\EEIOQ.DLL
      Application/Vi... Application de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...al Settings\Temp\laf5.exe
      Application/Pr... Application de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...SmitfraudFix/Process.exe]
      C:\Documents and Settings...\SmitfraudFix\Process.exe
      Cookie/Apmebf Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...okies\admin@apmebf[1].txt
      C:\Documents and Settings...cookies.txt[.apmebf.com/]
      Cookie/Xiti Cookie de surveillance Latent(e) Afficher +Infos
      C:\Documents and Settings...Cookies\admin@xiti[1].txt
      C:\Documents and Settings...t\cookies.txt[.xiti.com/]
      <<
      1
      2
      3
      4
      5
      >>




      test avec Hijackthis: hijackthis.log
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:29:05, on 18/02/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\NetProject\scit.exe
      C:\Program Files\NetProject\sbmntr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
      C:\Program Files\Topro\tppoll.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\NetProject\scm.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\CCP Server 4\ccpsrv.exe
      C:\Program Files\DAP\DAP.EXE
      C:\Program Files\Windows Media Player\wmplayer.exe
      C:\Program Files\hijackthis\HijackThis.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061230.dll start
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1202904675.dll
      O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Program Files\NetProject\sbmdl.dll
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
      O4 - HKLM\..\Run: [SpeedOptimizer] "C:\Program Files\SpeedOptimizer\SPO.exe"
      O4 - HKLM\..\Run: [tppoll] C:\Program Files\Topro\tppoll.exe
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [EC21] C:\Documents and Settings\Admin\Bureau\Program Files\EC21Messenger\EZQ.EXE
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
      O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
      O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
      O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
      O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
      O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
      O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
      O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
      O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O22 - SharedTaskScheduler: epistylar - {917f93bf-6714-4e11-8982-59db2e0f88fc} - C:\WINDOWS\system32\eeioq.dll
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe
      0
      1. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35 > eddyjo Messages postés 20 Statut Membre
         
        Salut,

        TOn PC est lourdement infecté; on va donc procédé avec méthode pour le rendre fonctionnel.

        d'après HJ, les lignes des programmes suivants sont supsectes:

        C:\Program Files\NetProject\scit.exe

        C:\Program Files\NetProject\sbmntr.exe

        C:\Program Files\CCP Server 4\ccpsrv.exe

        O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


        O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} -
        C:\Program Files\Helper\1202904675.dll

        O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} -
        C:\Program Files\NetProject\sbmdl.dll

        O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
        O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

        O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

        O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

        O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

        O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

        O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

        O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

        O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

        O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

        O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe

        O22 - SharedTaskScheduler: epistylar - {917f93bf-6714-4e11-8982-59db2e0f88fc} - C:\WINDOWS\system32\eeioq.dll


        ............................................................



        D'abord, vérification de présence de "Rootkits et autres backdoors":


        -Tu télécharges PANDA Antirootkit ( https://www.pandasecurity.com/en/mediacenter/?ref=mc_research ),
        installes le programme,
        mets le à jour,
        fais un scan minutieux et complet de ton PC,
        supprimes les problèmes qui vont s'affichés.

        Télécharges AVG Antirootkit ( http://www.avgfrance.com/doc/products-avg-anti-rootkit-free-edition/fr/crp/0 )
        installes le programme,
        mets le à jour,
        fais un scan minutieux et complet de ton PC,
        supprimes les problèmes qui vont s'affichés.

        Télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
        installes le programme,
        mets le à jour,
        fais un scan minutieux et complet de ton PC,
        et supprimes les problèmes qui vont s'affichés.

        Télécharge BlackLight Anti-Rootkit ( https://www.f-secure.com/en/business/support-and-downloads/security-advisories ),
        installes le programme,
        mets le à jour,
        fais un scan minutieux et complet de ton PC,
        et supprimes les problèmes qui vont s'affichés.
        Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.


        Dis-moi si des menaces ont été détectées et/ou éradiquées.


        Je t'indiquerai la marche à suivre en suite.

        0
      2. eddyjo > Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention  
         
        bonjour Darckiller, j'ai effectuer les differentes manip et

        enfin soulager car il n'y a plus de message d'infection
        je pense que mon pc est maintenant clean

        merci à tous et à+++++++
        0
      3. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35 > eddyjo
         
        Mais non ,ce n'est pas du tout fini !!!

        Tu n'as fais que des scans/détections sur les menaces de rootkits seulement.

        Il faut passer à la suite:

        -Tu fais un scan en ligne avec F-SECURE ( http://support.f-secure.com/fra/home/ols.shtml
        supprimes les malwares ou infections trouvés;

        fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
        supprimes les malwares ou infections trouvés;

        fais un scan en ligne avec Windows Live One Care (accepte le contrôle ActiveX ou le Plug-In lors de l'installation) (http://onecare.live.com/site/fr-FR/default.htm )
        supprimes les malwares ou infections trouvés;

        fais un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html )
        supprimes les malwares ou infections trouvés;

        fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
        supprimes les malwares ou infections trouvés;

        Postes les rapports obtenus de F-SECURE et de Panda Security.


        Voilà, et ce n'est pas fini ^^ !

        0
  2. jolekoso
     
    c'est bon merci beaucoup
    J'ai installé panda et il a tout supprimer.
    0
  3. Darckiller Messages postés 835 Date d'inscription   Statut Membre Dernière intervention   35
     
    De rien ;) !
    0