Sujet Précédent Sujet Suivant

Au secours envahie de "cheval de troie"

Résolu
manuella30 -  
manuella30 Messages postés 76 Statut Membre -
Bonjour,

mon ordinateur est infeste de 5 virus
Win32:AGENT-KIR il y en a deux
Win32:SMALL-ECR
Win32:AGENT-NHU il y en a deux
Ma souris devient incontrolable et des fenetres s'ouvrent et se ferment seules!!!!! Je n'arrive pas a m'en debarasser.
Une fenetre s'ouvre egalement toute les 5 minutes en me disant:
Warning! potential spyware operation!
Your computer is making unauthorized copies of your system and internet files. Run full scan now to pervent any unathorised access to your files! Click yes to download spyware remover...
Et la quoi que je clique rien ne marche. Merci de m'aider!!!!!!!!!!!!
A voir également:

140 réponses

Réponse 1 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Manuella, Jalobservateur

Merci Manuella pour ces gentils mots, c est sympa ++


Je dirais moi aussi : VOTEZ MANUELLA!!!
Car elle a eu la constance de continuer et de suivre les directives!
Ce qui résulte en ce que nous voyons comme résultâts.


Yes, +1 Jah ;-)

Cela a été tres agréable Ce suivis soutenu et sympathique ensemble .

Bonne continuation Mistinguette ;-)
1
Réponse 2 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Manuella

Ne t inquiétes pas, on va voir ce que l'on peut faire ensemble ;-)

J ai besoin de 2 rapports pour commencer a y voir clair :

1) Hijackthis

Télécharge hijackthis sur ton bureau.


Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connexion Internet.

Double clique dessus pour lancer l installation . Accepte la licence qui va apparaître par " I agree" .

Puis clique sur "Do a system scan and save a logfile"

Ferme hijackThis et fait un copier-coller du log entier et poste le ici en réponse.

Note : le rapport se trouve dans c:\Program Files\Trend Micro\HijackThis

Tuto :

http://pageperso.aol.fr/balltrap34/demohijack.htm


2) Navilog d'Il Mafioso option1

Télécharge Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau .

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le bloc note va s'ouvrir.

Copie-colle l'intégralité du rapport dans ta réponse.
Referme le bloc note

Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

3) Rapports

Poste moi ces 2 rapports stp et on attaque par la suite, une fois que je les aurais analysés.

@+
0
Réponse 3 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Manuella

Ne tiens pas compte du message de Zafira.

N installe rien de cela pour l'instant.

Tu as d' hors et déja peut etre un antivirus (ce que j espere pour toi) et installer Avast d'emblée comme conseillé risque de provoquer de gros conflits et bugs dont tu n as pas besoin.
De plus Avast est dépassé et ces 3 logiciels ne viendront pas a bout de tes soucis.

J attends tes rapports pour pouvoir continuer de te prendre en charge.

@ suivre ;-)
0
Réponse 4 / 140
zafira77 Messages postés 260 Statut Membre 73
 
Bonsoir Le Sioux
pour info Avast est loin d'etre dépassé d'autant plus qu'il est recommandé par bien des sites ayant des
connaissances informatiques, par des revues traitant de l'informatique. Personnellement je l'utilise sur
3 micros et je n'ai jamais été envahi par quoi que ce soit. Il prévient en temps réel des blocages d'intrus;
quant aux deux autres logiciels, ils ont fait et font toujours leurs preuves quant à leur efficacité.
Dernier point sur deux des trois micros que j'ai, deux sont doublement protégés par Avast ainsi que par
Norton (pc neufs sur lesquels étaient préinstallés cet anti-virus) Il n'y a jamais eu de conflits (ni gros ni petits)

a +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir zafira

@ lire

Comparatif avast VS Antivir : http://forum.malekal.com/ftopic3528.php

et a mediter...

La solution que tu proposes n amenera a rien...il y a de grande chance qu elle soit infecté par Navipromo, Vundo ou SmitFraud..Avast ne sais pas les arreter et Ad aware ni Spybot seront également impuissants bien que ces 2 derniers soient de bons programmes, il est vrai, contrairement a Avast qui a un retard énorme en actualisation des detections.

Ce n est pas parcequ il t a protégé efficacement qu il protegera tout le monde, les habitudes de surf n etant pas les memes pour chacun..

Autre exemple : si tu installe un de ces programmes A ne pas faire ce n est qu un exemple

* Go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Sudoplanet
* Le site www.games-desktop.com (n'y allez pas)
WebMediaplayer (ne provenant pas du site : http://www.azertysite.new.fr/qui est sain)

L adware Navipromo/ magic control s installera avec et Avast ni verra que du feu.. et criera au secours une fois qu il sera trop tard...Voili, voila...
0
Réponse 6 / 140
zafira77 Messages postés 260 Statut Membre 73
 
"les habitudes de surf n'étant pas les mêmes pour chacun" il est donc fort à parier que tout logiciel de
sécurité est plus ou moins efficace selon qui l'utilisera . Manuella ne sera donc pas plus protégée avec tel ou
tel logiciel (!) voilà.......
0
Réponse 7 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bon...

Manuella ne sera donc pas plus protégée avec tel ou
tel logiciel (!) voilà....... Eh bien NON mauvais raisonnement , il y aura toujours concurrence dans les divers outils, pourquoi ne pas utiliser ce qu il y a de mieux et tenter d etre ainsi mieux protéger ?

M'enfin... Arretons de "polluer" le sujet de Manuella avec cette discussion qui devient stérile.
Y a mp si tu veux en discuter.

J' attends maintenant des nouvelles de Manuella ici.

Bonsoir

exemple de 2 analyses demandées la nuit derniere Avast ne voit rien

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 HEUR/Crypted
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 I-Worm/Bagle
BitDefender 7.2 2007.11.24 -
CAT-QuickHeal 9.00 2007.11.24 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.24 -
DrWeb 4.44.0.09170 2007.11.24 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5318 2007.11.23 -
Ewido 4.0 2007.11.24 -
FileAdvisor 1 2007.11.24 -
Fortinet 3.14.0.0 2007.11.24 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.23 SDBot.gen8
Ikarus T3.1.1.12 2007.11.24 -
Kaspersky 7.0.0.125 2007.11.21 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.24 -
NOD32v2 2683 2007.11.24 -
Norman 5.80.02 2007.11.23 SDBot.gen8
Panda 9.0.0.4 2007.11.24 -
Prevx1 V2 2007.11.24 Heuristic: Suspicious Self Modifying EXE
Rising 20.19.51.00 2007.11.24 -
Sophos 4.23.0 2007.11.24 -
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.24 -
TheHacker 6.2.9.140 2007.11.24 W32/Behav-Heuristic-064
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.23 -
Webwasher-Gateway 6.0.1 2007.11.24 Heuristic.Crypted
Information additionnelle
File size: 499712 bytes
MD5: 7372ea9cbe092ddde24d2c51e9045512
SHA1: 9c96707aa22a2ae3ae3f97f0c14b81a1efd5767a
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2CF5571D0003CA2FA0B107CFC2D30500EE576573
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

------------------------------------------------------------------------------------------------

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 HEUR/Crypted
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 BackDoor.RBot.AK
BitDefender 7.2 2007.11.24 DeepScan:Generic.Sdbot.11826EAA
CAT-QuickHeal 9.00 2007.11.24 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.11.24 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.11.24 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5318 2007.11.23 -
Ewido 4.0 2007.11.24 -
FileAdvisor 1 2007.11.24 -
Fortinet 3.14.0.0 2007.11.24 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.23 SDBot.gen3
Ikarus T3.1.1.12 2007.11.24 BehavesLikeWin32.ExplorerHijack
Kaspersky 7.0.0.125 2007.11.21 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.24 -
NOD32v2 2683 2007.11.24 -
Norman 5.80.02 2007.11.23 SDBot.gen3
Panda 9.0.0.4 2007.11.24 -
Prevx1 V2 2007.11.24 LoveBoom:Worm-a
Rising 20.19.51.00 2007.11.24 -
Sophos 4.23.0 2007.11.24 -
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
TheHacker 6.2.9.140 2007.11.24 W32/Behav-Heuristic-064
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.23 -
Webwasher-Gateway 6.0.1 2007.11.24 Heuristic.Crypted
Information additionnelle
File size: 394240 bytes
MD5: 2b4ce2478663b762a1a4f26acfcc9b06
SHA1: 65eeebb3251563e84b6532c9c5f4d46158bc738d
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=8B1391D400ED33E104C50698C757D900DCE8B3DE
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Voila...

Y a mp si tu veux en discuter.
0
Réponse 8 / 140
zafira77 Messages postés 260 Statut Membre 73
 
Manuella suivra les informations qu'elle pense être bonnes et l'essentiel c'est que son pc refonctionne sans problème. Ceci dit il est vrai que c'est un échange stérile qui n'apporte rien à personne ce qui est pourtant le but de ce forum. dommage que tout le monde ne le comprenne pas et ne soit pas ouvert à d'autres idées qu'aux siennes.
Sur ce , bonsoir,
et voilà.....
0
Réponse 9 / 140
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
Bonsoir à tous !
zafira77 ,
Je ne veux pas m'émicer.
Seulement dire que oui Avast depuis des années a été recommandé et par moi aussi.
Efficace et gratuit= Répandu. Répandu= + de tentatives de piratage.
Le même phénomène avec Norton, qui a tenté de s'adapter et est devenu le lourdeau que l'on connais aujourd'hui.
Présentement, l'antivirus recommandé est Antivir. Free.
Pour la simple raison qu'il est plus réactif en ce qui concerne les nouvelles menaces, dont les Rootkits.
Je comprend ton point de vue concernant le fait que Manuella manque de protections ou de navigations sécures.
Mais ,crois-moi, si elle suis les recommandations du sioux, il en sera autrement!
Il n'est pas plus intéréssé que moi ou toi à la voir revenir ici infectée à nouveau.
Mais au contraire, nous aimerions tous qu'elle revienne ici mieux expérimentée et offrant elle aussi de l'aide.
Et je vois cela continuellement sur ce forum et d'autres aussi.
Tu n'as qu'a cliquer sur le profil de sioux et regardes toutes ses interventions.
Tu verras qu'il est clair et sensé dans ses propos et ne fait rien pour rien.

Ici présentement nous ne sommes pas au stade de la protection et de la prévention.
Malheureusement ,le mal est fait.
Donc à ce stade, il doit analyser et anticiper tout un amalgame de possibilités et de réactions de la machine de l'aidée.
Ceci est une lourde responsabilité.
Quand nous prenons une personne en charge, nous voulons aller droit au but et redonner le contrôle à l'aidé(e)
Nous nous assurons que tous les problêmes sont écartés et ensuite, nous informons et donnons conseils au mieux de nos lectures, expériences et les muiltitudes de tests de tous genre, dans le but de sécuriser au maximum toutes les machines.
Nous n'avons parcontre aucun contrôle sur les utilisateurs. Sinon de les informer si ils le veulent bien...
-
Présentement sur le site : Il y a 5409 internautes connectés et ici sur les forums il y a actuellement 52 membres qui possiblement peuvent répondrent.
Donc, la tâche est énorme et elle augmente toujours.
Aussi , nous avons besoin d'aide !
Et pour cela, nous devons tous observer et réaliser les faits et être à l'affut des nouvelles menaces qui apparaissent et s'épauler entre bénévoles.
Merci de participer!
Jalobservateur ;-)
0
Réponse 10 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
re

Manuella suivra les informations qu'elle pense être bonnes et l'essentiel c'est que son pc refonctionne sans problème.

C est dans ce but que je suis intervenu .

Ceci dit il est vrai que c'est un échange stérile qui n'apporte rien à personne ce qui est pourtant le but de ce forum. dommage que tout le monde ne le comprenne pas et ne soit pas ouvert à d'autres idées qu'aux siennes.

As tu seulement été lire les tests de Malekal_Morte ?
As tu regarder les tests que je t ai copier/coller
Tu parles ainsi de moi ??
dommage que tout le monde ne le comprenne pas et ne soit pas ouvert à d'autres idées qu'aux siennes.
Avance moi des arguments aussi valables que ceux que je t ai donnés, je suis toujours pres a faire evoluer mes configurations pour aller de l avant, mais pas seulement sur des "on dit" ... ou sur des " tests commerciaux"

CF mes configs http://assiste.forum.free.fr/viewtopic.php?t=12800

Bonsoir.
0
manuella30 Messages postés 76 Statut Membre
 
bonsoir, je vous ai envoyer mes rapports mais je n'ai tjr pa de nouvelles de vous. A present je n'ai plus de panneau de configuration et il refuse d'ouvrir tout les dossiers ou fichiers systemes. Il est en restriction. Merci de m'aider car je suis vraiment dans le petrin.
0
Réponse 11 / 140
manuella30 Messages postés 76 Statut Membre
 
re bonjour et encore merci d'essayer de m'aider. J'utilise en effet l'antivirus AVAST, j'ai egalement spybot et ad aware mais aucun d'entre n'arrivent a me les supprimer. Desole si mes reponses sont tardives mon ordi beug, je m'aide avec un autre. J'ai eu du mal a telecharger hijackthis mais la perseverence paye. Voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:07, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\proper.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/en-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Search - ?p=ZNxmk142YYFR
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\sol852.txt
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
0
Réponse 12 / 140
manuella30 Messages postés 76 Statut Membre
 
et voici le second:

Search Navipromo version 3.3.6 commencé le 25/11/2007 à 14:40:35,07

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\SAUSSINE\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier(s)/processus caché(s) différent(s) !!
!! Résultat Catchme non pris en compte par Navilog1 !!

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\SAUSSINE\LOCALS~1\APPLIC~1 *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse terminée le 25/11/2007 à 14:41:58,02 ***
0
Réponse 13 / 140
manuella30 Messages postés 76 Statut Membre
 
Au secours!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
0
Réponse 14 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Manuella
Désolé, j'arrive seulement, Navilog1 t'a trouvé juste cela, on s en occupera ;-)

Par contre, ton rapport HijackThis montre une infection Smitfraud, besoin d'un autre rapport, puis on attaque le nettoyage :

SmitfraudFix de S!Ri, balltrap34 et moe31

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézippe le puis

* Installe le à la racine de C
Tu crees un nouveau dossier, via clic droit "créer /nouveau dossier que tu nommes SmitfraudFix --> C:\SmitfraudFix

Regarde un exemple a N) https://forum.pcastuces.com/sujet.asp?f=25&s=3902

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici


process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+
0
manuella30 Messages postés 76 Statut Membre
 
Je m'execute chef a desuite et merci pour vos reponses!!!!
0
manuella30 Messages postés 76 Statut Membre
 
Etes vous sur que c a N qu'il faut que je regarde?
0
Réponse 15 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir

Damned ..!!

C'est a E ) Faire un répertoire dédié .. bien sur ! excuse moi ..

Tu peux me tutoyer ;-)

@+
0
manuella30 Messages postés 76 Statut Membre
 
Ok chef, alors voila le monstre:

SmitFraudFix v2.254

Rapport fait à 0:45:49,53, 26/11/2007
Executé à partir de C:\Documents and Settings\SAUSSINE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\bronto.dll PRESENT !
C:\WINDOWS\system32\proper.exe PRESENT !
C:\WINDOWS\system32\skuns.dat PRESENT !
C:\WINDOWS\system32\winter.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SAUSSINE


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SAUSSINE\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SAUSSINE\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\sol852.txt"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0C9A983C-BA3A-4F23-A6F5-14B7354EC483}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0C9A983C-BA3A-4F23-A6F5-14B7354EC483}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0C9A983C-BA3A-4F23-A6F5-14B7354EC483}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0C9A983C-BA3A-4F23-A6F5-14B7354EC483}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 16 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

On le tient : Infection SmitFraud comme déja dit ;-)

C:\WINDOWS\system32\bronto.dll PRESENT !
C:\WINDOWS\system32\proper.exe PRESENT !
C:\WINDOWS\system32\skuns.dat PRESENT !
C:\WINDOWS\system32\winter.exe PRESENT !

Let's go :

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection


1) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

2) SmitfraudFix de S!Ri, balltrap34 et moe31

* Double clique sur Smitfraudfix.cmd
* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Note L'option 2 de l'outil supprime le fond d'écran !

3) Rapports

Fais redémarrer ton pc et poste le rapport de SmitFraudFix et un nouveau log HijackThis stp.

Bon courage, @+
0
Réponse 17 / 140
manuella30 Messages postés 76 Statut Membre
 
jai un autre ordi connecter en meme temps c grace a lui que je vois tes instructions bon j'y vais c'est partiiiiiiiiiii!!!!!!!!!!
0
Réponse 18 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Ok,

Je m'absente 2 mn, je reviens ;-)
0
Réponse 19 / 140
manuella30 Messages postés 76 Statut Membre
 
t'as recu mon rapport?
0
Réponse 20 / 140
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

Non, pas reçu... copie colle le ici stp.

Merci.

Puis
* Va sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\system32\sol852.txt

* Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

@ suivre...
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
Everest Poker Cheval de Troie
chipie-68 -
fabul -

5 réponses
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses