W32.Myzor.FK@yf NetWorm-i.Virus@fp

Résolu/Fermé

jolekoso - 19 nov. 2007 à 22:01
Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 - 19 févr. 2008 à 23:23

Bonjour,
J'ai plein de virus, des pages internet qui s'ouvre, une bulle qui affiche des nom de virus ect......
voici mon résumé fait avec SmitfraudFix

SmitFraudFix v2.253

Rapport fait à 21:54:44,57, 19/11/2007
Executé à partir de C:\Documents and Settings\ange\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\system32\service.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ange

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ange\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ange\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D547C873-8E08-40D6-95C2-3D864BFE2AAC}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci de votre aide

A voir également:

W32.Myzor.FK@yf NetWorm-i.Virus@fp
Taille w32 l32 ✓ - Forum Consommation & Internet
W32 l32 taille française femme ✓ - Forum Loisirs / Divertissements
Taille française/taille US (jeans). HELP plz! ✓ - Forum Loisirs / Divertissements
W32.malware.gen ✓ - Forum Virus
W32 l32 taille française homme - Forum Loisirs / Divertissements

3 réponses

Réponse 1 / 3

Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
20 nov. 2007 à 12:50

Salut à toi, suis ma démarche dans l'ordre:

-Tu désactives l'Accès à distance de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.

-Tu dois avoir accès à tous les fichiers de ton système:
Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.

-Tu désactives l'Affichage des messages:
Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver".
L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
Si cela est déjà fait, c'est bien, ne touche à rien.

-Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
cliques sur le bouton "Lancer TotalScan !" (vert foncé),
coches l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
cliques sur le bouton "Scan Now",
installes le Plug-in ou ActiveX demandé au préalable,
copies et colles le rapport obtenu (un page de texte bloc-note).

-Tu fais un scan avec HijackThis.
Pour faire un scan HJTH, il faut :
télécharger ce programme ( http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download ),
sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair),
installe le sur ton PC.
Ouvres HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ;
copies et colles ce rapport sur un nouveau message.

eddyjo Messages postés 20 Date d'inscription mercredi 18 juillet 2007 Statut Membre Dernière intervention 21 avril 2008 1
18 févr. 2008 à 18:22

bonjour Darckiller j'ai le meme problem, mon pc est infecte par
psw.x-vir trojan,
trojan-spy.win32@mx et
Networm-i.virus@fp

il y a des fenetres internet qui s'ouvrent toutes seules sans cesse et me proposent de telecharger des antispyware. je me demande si ces sites et ces liens sont fiables.

voici les liens de pages:
https://www.hugedomains.com/domain_profile.cfm?d=virusheat&e=com
http://www.antispyshield.com/?advid=177
http://www.virusranger.com/?aid=5338

j'ai comme antivirus AVG FreeEdition v7.5 qui est àjour mais inefficace
j'ai telecharger et installer AVG Antispyware 7.5, j'ai fait la mise àjour mais il est inefficace.

merci pour votre attention
Configuration: Windows XP sp2 IE 6

Important:
j'ai suivi les differentes etapes que vous avez conseillez à jolekoso dans cette discussion et voici les resultats des tests que j'ai effectuer:

TotalScan en ligne avec Panda: j'ai obtenu ceci apres clic sur enregistrer dans la page resultat du test
;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-02-18 16:05:19
PROTECTIONS: 1
MALWARE: 26
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AVG 7.5.503 7.5.503 Yes No
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 Yes ........... No .............. C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\Process.exe
00139535 Application/Processor HackTools No 0 Yes .......... No ............. C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/Process.exe]
00149116 Cookie/Ccbill TrackingCookie No 0 Yes ........... No ............ C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.ccbill.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes ........... No ............. C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes ........... No ............ C:\Documents and Settings\Admin\Cookies\admin@xiti[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.apmebf.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Cookies\admin@apmebf[1].txt
00172449 Cookie/MetriWeb TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.metriweb.be/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\yyluiseg.default\cookies.txt[.adultfriendfinder.com/]
00241818 Dialer.FFQ Dialers No 0 No ............ No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\sysinetsvc32_FR_XP.cab[sysinetsvc32.dll]
00241818 Dialer.FFQ Dialers No 0 Yes ...................No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\sysinetsvc32_FR_XP\sysinetsvc32.dll
00288208 Application/HideWindow.S HackTools No 0 Yes ............ No ............ C:\WINDOWS\system32\cmdow.exe
00517584 Application/SuperFast HackTools No 0 Yes ........... No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\restart.exe
00517584 Application/SuperFast HackTools No 0 Yes ............. No ......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/restart.exe]
02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes ............ No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix\SmitfraudFix\Reboot.exe
02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes .............. No .......... C:\Documents and Settings\Admin\Bureau\DOC Clients\Nouveau dossier\SmitfraudFix.zip[SmitfraudFix/Reboot.exe]
02656918 Adware/VirusRanger Adware No 0 No .............. No ........... C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[VirusRanger.exe]
02870155 Application/VirusRanger HackTools No 0 No .............. No ............ C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[asc4.dll]
02870162 Application/VirusRanger HackTools No 0 No .............. No ............ C:\Documents and Settings\Admin\Bureau\DOC Clients\vrg_setup.exe[bpw.dll]
02887528 Cookie/AdvancedCleaner TrackingCookie No 0 Yes .............. No ............. C:\Documents and Settings\Admin\Cookies\admin@advancedcleaner[1].txt
02890030 Dialer.KXO Dialers No 0 Yes .............. No ............ C:\WINDOWS\system32\nsinet.exe
02898906 Constructor/WMFMaker SecRisk No 0 Yes ............ No ............ H:\ne0kS.exe
02899253 Cookie/AntiSpyKit TrackingCookie No 0 Yes ............ No ............ C:\Documents and Settings\Admin\Cookies\admin@antispykit[1].txt
02900561 Adware/VirusHeat Adware No 0 Yes ............ No ............ C:\Program Files\NetProject\waun.exe
02900700 Trj/Zlob.HN Virus/Trojan Yes 2 Yes .............. No ........... C:\PROGRAM FILES\NETPROJECT\SCM.EXE
02900734 Adware/Popuper Adware Yes 1 Yes ............... No .......... C:\PROGRAM FILES\NETPROJECT\SCIT.EXE
02900738 Application/VirusHeat HackTools Yes 0 Yes .............. No ............ C:\PROGRAM FILES\HELPER\1202904675.DLL
02900929 Application/VirusHeat HackTools Yes 0 Yes ............... No ........... C:\WINDOWS\SYSTEM32\EEIOQ.DLL
02900930 Application/VirusHeat HackTools No 0 Yes .............. No ........... C:\Documents and Settings\Admin\Local Settings\Temp\laf5.exe
02901030 Adware/MultiMedia Adware Yes 1 Yes ............... No ........... C:\PROGRAM FILES\NETPROJECT\SBMDL.DLL
02901033 Adware/VirusHeat Adware Yes 0 Yes ................ No ............ C:\PROGRAM FILES\NETPROJECT\SBMNTR.EXE
02901035 Adware/VirusHeat Adware No 0 Yes ................ No ............. C:\Program Files\NetProject\sbun.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================

et voici le copie/coller que j'ai fait apres le test:
Analyse complète : Recherche de tous les logiciels malveillants
Analyse
Recherche de virus, logiciels espions, chevaux de Troie et autres menaces. L'outil utilise également des technologies heuristiques pour détecter les virus inconnus.
100%

Elément en cours :
Eléments analysés : 88290
Eléments avec virus, logiciels espions, chevaux de Troie, etc. détectés : 33
Fichiers suspects détectés : 0

Résultats
PC infecté

1 exemple de logiciel malveillant dangereux.
25 exemples de logiciels malveillants moyennement dangereux.

Nous avons détecté que AVG 7.5.503 est obsolète.
El texto que corresponda en cada momento
Après l'analyse complète de votre PC, aucun logiciel malveillant ACTIF ou LATENT n'a été détecté.
Devenez membre de la communauté TotalScan Pro
Désinfection incluse !

Détails de l'analyse

Niveau de risque élevé (1)
Trj/Zlob.HN Virus Actif/Active Afficher +Infos
C:\PROGRAM FILES\NETPROJECT\SCM.EXE

Niveau de risque moyen (3)
Adware/Popuper Adware (logiciel publicitaire) Actif/Active Afficher +Infos
C:\PROGRAM FILES\NETPROJECT\SCIT.EXE
Adware/MultiMe... Adware (logiciel publicitaire) Actif/Active Afficher +Infos
C:\PROGRAM FILES\NETPROJECT\SBMDL.DLL
Trj/Rebooter.J Virus Latent(e) Afficher +Infos
C:\Documents and Settings...x\SmitfraudFix\Reboot.exe
C:\Documents and Settings...[SmitfraudFix/Reboot.exe]

Niveau de risque faible (22)
Adware/VirusHe... Adware (logiciel publicitaire) Actif/Active Afficher +Infos
C:\PROGRAM FILES\NETPROJECT\SBMNTR.EXE
Application/Vi... Application de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...ts\vrg_setup.exe[bpw.dll]
Cookie/MetriWe... Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...ookies.txt[.metriweb.be/]
Adware/VirusHe... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
C:\Program Files\NetProject\sbun.exe
Application/Su... Application de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...SmitfraudFix/restart.exe]
C:\Documents and Settings...\SmitfraudFix\restart.exe
Cookie/adultfr... Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...[.adultfriendfinder.com/]
Adware/VirusHe... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
C:\Program Files\NetProject\waun.exe
Cookie/AntiSpy... Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...s\admin@antispykit[1].txt
Adware/VirusRa... Adware (logiciel publicitaire) Latent(e) Afficher +Infos
C:\Documents and Settings...etup.exe[VirusRanger.exe]
Application/Hi... Application de surveillance Latent(e) Afficher +Infos
C:\WINDOWS\system32\cmdow.exe
Cookie/Ccbill Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...cookies.txt[.ccbill.com/]
Cookie/Advance... Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...in@advancedcleaner[1].txt
Dialer.FFQ Numéroteur Latent(e) Afficher +Infos
C:\Documents and Settings..._XP.cab[sysinetsvc32.dll]
C:\Documents and Settings...32_FR_XP\sysinetsvc32.dll
Application/Vi... Application de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...s\vrg_setup.exe[asc4.dll]
Application/Vi... Application de surveillance Actif/Active Afficher +Infos
C:\PROGRAM FILES\HELPER\1202904675.DLL
Dialer.KXO Numéroteur Latent(e) Afficher +Infos
C:\WINDOWS\system32\nsinet.exe
Constructor/WM... Risque de sécurité Latent(e) Afficher +Infos
H:\ne0kS.exe
Application/Vi... Application de surveillance Actif/Active Afficher +Infos
C:\WINDOWS\SYSTEM32\EEIOQ.DLL
Application/Vi... Application de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...al Settings\Temp\laf5.exe
Application/Pr... Application de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...SmitfraudFix/Process.exe]
C:\Documents and Settings...\SmitfraudFix\Process.exe
Cookie/Apmebf Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...okies\admin@apmebf[1].txt
C:\Documents and Settings...cookies.txt[.apmebf.com/]
Cookie/Xiti Cookie de surveillance Latent(e) Afficher +Infos
C:\Documents and Settings...Cookies\admin@xiti[1].txt
C:\Documents and Settings...t\cookies.txt[.xiti.com/]
<<
1
2
3
4
5
>>

test avec Hijackthis: hijackthis.log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:05, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\sbmntr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Topro\tppoll.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\CCP Server 4\ccpsrv.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061230.dll start
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1202904675.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Program Files\NetProject\sbmdl.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [SpeedOptimizer] "C:\Program Files\SpeedOptimizer\SPO.exe"
O4 - HKLM\..\Run: [tppoll] C:\Program Files\Topro\tppoll.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EC21] C:\Documents and Settings\Admin\Bureau\Program Files\EC21Messenger\EZQ.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: epistylar - {917f93bf-6714-4e11-8982-59db2e0f88fc} - C:\WINDOWS\system32\eeioq.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe

Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35 > eddyjo Messages postés 20 Date d'inscription mercredi 18 juillet 2007 Statut Membre Dernière intervention 21 avril 2008
18 févr. 2008 à 19:39

Salut,

TOn PC est lourdement infecté; on va donc procédé avec méthode pour le rendre fonctionnel.

d'après HJ, les lignes des programmes suivants sont supsectes:

C:\Program Files\NetProject\scit.exe

C:\Program Files\NetProject\sbmntr.exe

C:\Program Files\CCP Server 4\ccpsrv.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} -
C:\Program Files\Helper\1202904675.dll

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} -
C:\Program Files\NetProject\sbmdl.dll

O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe

O22 - SharedTaskScheduler: epistylar - {917f93bf-6714-4e11-8982-59db2e0f88fc} - C:\WINDOWS\system32\eeioq.dll

............................................................

D'abord, vérification de présence de "Rootkits et autres backdoors":

-Tu télécharges PANDA Antirootkit ( https://www.pandasecurity.com/en/mediacenter/?ref=mc_research ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
supprimes les problèmes qui vont s'affichés.

Télécharges AVG Antirootkit ( http://www.avgfrance.com/doc/products-avg-anti-rootkit-free-edition/fr/crp/0 )
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
supprimes les problèmes qui vont s'affichés.

Télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
et supprimes les problèmes qui vont s'affichés.

Télécharge BlackLight Anti-Rootkit ( https://www.f-secure.com/en/business/support-and-downloads/security-advisories ),
installes le programme,
mets le à jour,
fais un scan minutieux et complet de ton PC,
et supprimes les problèmes qui vont s'affichés.
Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.

Dis-moi si des menaces ont été détectées et/ou éradiquées.

Je t'indiquerai la marche à suivre en suite.

eddyjo > Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010
19 févr. 2008 à 13:31

bonjour Darckiller, j'ai effectuer les differentes manip et

enfin soulager car il n'y a plus de message d'infection
je pense que mon pc est maintenant clean

merci à tous et à+++++++

Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35 > eddyjo
19 févr. 2008 à 23:23

Mais non ,ce n'est pas du tout fini !!!

Tu n'as fais que des scans/détections sur les menaces de rootkits seulement.

Il faut passer à la suite:

-Tu fais un scan en ligne avec F-SECURE ( http://support.f-secure.com/fra/home/ols.shtml
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Windows Live One Care (accepte le contrôle ActiveX ou le Plug-In lors de l'installation) (http://onecare.live.com/site/fr-FR/default.htm )
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html )
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
supprimes les malwares ou infections trouvés;

Postes les rapports obtenus de F-SECURE et de Panda Security.

Voilà, et ce n'est pas fini ^^ !

Réponse 2 / 3

jolekoso
22 nov. 2007 à 11:40

c'est bon merci beaucoup
J'ai installé panda et il a tout supprimer.

Réponse 3 / 3

Darckiller Messages postés 835 Date d'inscription mardi 10 juillet 2007 Statut Membre Dernière intervention 11 juin 2010 35
22 nov. 2007 à 11:49

De rien ;) !

Discussions similaires

win32:malware-gen bloqué par avast

W32 L32: correspondance entre taille US et taille française

C'est quoi "Win32:Trojan-gen {Other}"

Win32:Adware-gen [Adw]

Supprimer un virus type Win32:Malware:Gen