infecté par W32.mezor.fk@yf Fermé

Question

Bonjour,apres plusieurs essai, j'ai reussi a effectuer les etapes 1 et 2 avec Smitfraudfix et voiSmitFraudFix v2.255

Rapport fait à  0:26:31,04, 27/11/2007
Executé à partir de C:\Documents and Settings\Ernest LAYITA\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}"="doglike"

[HKEY_CLASSES_ROOT\CLSID\{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}\InProcServer32]
@="C:\WINDOWS\system32\fftktmk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}\InProcServer32]
@="C:\WINDOWS\system32\fftktmk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\fftktmk.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\fftktmk.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url supprimé
C:\DOCUME~1\ERNEST~1\Favoris\Online Security Test.url supprimé
C:\Program Files\Video Add-on\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{103C7C1D-8483-401A-B92A-F16A94D6F892}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{54259929-436A-4B68-A1EE-0AB6A01BDB6D}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{98D0E2F6-8A6F-4742-8A1F-819135C00B76}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{103C7C1D-8483-401A-B92A-F16A94D6F892}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{54259929-436A-4B68-A1EE-0AB6A01BDB6D}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98D0E2F6-8A6F-4742-8A1F-819135C00B76}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{103C7C1D-8483-401A-B92A-F16A94D6F892}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{54259929-436A-4B68-A1EE-0AB6A01BDB6D}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{98D0E2F6-8A6F-4742-8A1F-819135C00B76}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B7069589-2EF9-4ED1-8994-AD841B399412}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: DhcpNameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}: NameServer=85.255.114.195,85.255.112.96
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.195 85.255.112.96
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.195 85.255.112.96
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.195 85.255.112.96


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdqdz.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kdqdz.exe supprimé
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

ci le rapport:


que dois je faire maintenant?

Lyonnais92 · Answer

Bonjour,

Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur. 

* Télécharge FixWareout de ce site sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
hxxp://swandog46.geekstogo.com/Fixwareout.exe 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

ninosb · Answer

j'ai suivis tes instructions Lyonnais et voici les deux rapport:
Username "Ernest LAYITA" - 27/11/2007  1:00:31 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.195 85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{103C7C1D-8483-401A-B92A-F16A94D6F892} 
"nameserver"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{98D0E2F6-8A6F-4742-8A1F-819135C00B76} 
"nameserver"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B7069589-2EF9-4ED1-8994-AD841B399412} 
"nameserver"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B79D7D96-EACC-42A7-9E00-4AD89A87B447} 
"nameserver"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{54259929-436A-4B68-A1EE-0AB6A01BDB6D}
"DhcpNameServer"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B7069589-2EF9-4ED1-8994-AD841B399412}
"DhcpNameServer"="85.255.114.195,85.255.112.96" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B79D7D96-EACC-42A7-9E00-4AD89A87B447}
"DhcpNameServer"="85.255.114.195,85.255.112.96" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe"
"nwiz"="nwiz.exe /installquiet"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
"Toshiba Hotkey Utility"="\"C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe\" /lang FR"
"NDSTray.exe"="NDSTray.exe"
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe"
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE"
"IntelZeroConfig"="\"C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe\""
"IntelWireless"="\"C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"Salestart"="\"C:\Program Files\Fichiers communs\ProtectionAssuree\stmon.exe\" dm=http://protectionassuree.com; ad=http://protectionassuree.com"
"rtasks"="C:\Program Files\ProtectionAssuree\rtasks.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe"
"MSMSGS"="\"C:\Program Files\Messenger\msmsgs.exe\" /background"
"BitTorrent"="\"C:\Program Files\BitTorrent\bittorrent.exe\" --force_start_minimized"
"LowRateVoip"="\"C:\program files\lowratevoip\lowratevoip.exe\" -nosplash -minimized"
"NCLaunch"="C:\WINDOWS\NCLAUNCH.EXe"
"Veoh"="\"C:\Program Files\Veoh Networks\Veoh\VeohClient.exe\" /VeohHide"
"aolcpvdus"="c:\windows\system32\aolcpvdus.exe aolcpvdus"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

et pour hidjaki:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:09:59, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\ProtectionAssuree\stmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\program files\lowratevoip\lowratevoip.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearchIndexer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe" /lang FR
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\ProtectionAssuree\stmon.exe" dm=http://protectionassuree.com; ad=http://protectionassuree.com
O4 - HKLM\..\Run: [rtasks] C:\Program Files\ProtectionAssureetasks.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [LowRateVoip] "C:\program files\lowratevoip\lowratevoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?f52a398bd78c4084866acf633415aa79
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?f52a398bd78c4084866acf633415aa79
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

ninosb · Answer

salut "lyonnais92" j'attend les derniere instruction, stp aide moi

Lyonnais92 · Answer

Bonjour,

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Lis bien et exécute cette manip dans l’ordre. 

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers 
mets les à jour, comme indiqué dans les démos ou tutos. 

Ne les utilise pas tout de suite. 


Antispywares et autres : 

*Ad-Aware (gratuit) 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html 
Le patch en Français pour Ad-Aware (gratuit) : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html 
Tuto : 
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

*Spybot (gratuit) : 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html 
voir demo d utilisation (merci Balltrap) 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

* AVG AS 

AVG anti spyware 
https://www.01net.com/telecharger/
Mets le a jour avant de lancer le scan. 
Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html 


Nettoyeurs (de fichiers inutiles) et autres : 

*Ccleaner (gratuit) 
Téléchargement : 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto : 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

======================================== 
->Affiche tous les fichiers et dossiers : 
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
======================================== 
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »), 
coche les cases devant ces lignes : 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\ProtectionAssuree\stmon.exe" dm=http://protectionassuree.com; ad=http://protectionassuree.com
O4 - HKLM\..\Run: [rtasks] C:\Program Files\ProtectionAssuree\rtasks.exe

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus, 
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis! 
 ======================================= 

->Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec 
puis tape « entrée ». 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
======================================== 
->Recherche et supprime ces fichiers en gras (si présents) : 

C:\Program Files\Fichiers communs\ProtectionAssuree\
C:\Program Files\ProtectionAssuree\
======================================== 
->Lance CCleaner. 

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système) 
• Clique sur [Analyse] 
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur [Lancer le Nettoyage] 



======================================== 
->Lance AVG pour un scan complet "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum] 
======================================== 
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines… 
======================================== 
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines… 
======================================== 
->Relance CCleaner. 
Suppression des incohérences du registre 

• Clique sur l'icône [Erreurs] situés dans la marge à gauche 
• Puis clique sur [Analyser les erreurs] 
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur [Corriger les erreurs]. 

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement. 
======================================== 
->Vide ta Corbeille. 
======================================== 
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) : 

https://www.bitdefender.com/toolbox/

Utilisation : 
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer. 
Ensuite, cliquer sur "Cliquez ici pour scanner". 
Patienter jusqu'à la fin du scan qui peut durer assez longtemps... 

Copier/coller le rapport entier sur le forum. 

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation) 
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

Relance Hijackthis et copie/colle un nouveau rapport sur le forum. 

Et dis moi ou en sont tes problèmes s’il t’en reste.

Infecté par W32.mezor.fk@yf

4 réponses

Discussions similaires