Windows security alert

Legland Messages postés 19 Statut Membre -  
 Legland -
Bonjour,

Je me décide enfin à prendre le taureau par les cornes et solliciter votre aide... J'ai ce fameux virus windows security alert sur mon pc qui m'affiche :

"Warning ! potential spyware operation!
Your computer is making............ Click yes to download spyware remover...."

De plus, je n'ai plus accès a mes informations systèmes pour "cause de restictions en vigueur sur cet ordinateur".

Donc là je lance un scan sur avast, c'est la 1ere etape à faire si g bien compris ce qui a été dit au sujet de ce virus sur les divers forums.

Ensuite, il faut savoir que g deja installé navilog et smitfraudfix sur mon pc. Quelqu'un aurait il la bonté de m'aider pour la suite des opérations. En espérant que j'arrive enfin à me déjouer de ce pataquès (ce joli mot, c'est pour rester poli car depuis le temps le coin pc est un véritable parc ornithologique...).

Voilà, merci de votre gratitude...

Un gland
A voir également:

46 réponses

Précédent
Réponse 21 / 46
Legland Messages postés 19 Statut Membre
 
Bonsoir,

me revoici avec le rapport Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:49, on 29/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd7910c08bd2436a9f3d7e547514fdd2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd7910c08bd2436a9f3d7e547514fdd2
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/25.23/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111513209687
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
0
Réponse 22 / 46
Legland Messages postés 19 Statut Membre
 
quel abruti je fais, je viens de retrouver le lien un peu plus haut....:

https://www.commentcamarche.net/list 7752 logiciels gratuits pour assurer une securite minimale

Sinon je dois installer java ? ça va me servir à quoi niveau sécurité ?
0
Réponse 23 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Salut

Java, qu'est-ce que c'est ?


Java vous permet de jouer en ligne, de discuter avec des personnes dans le monde entier, de calculer les intérêts de votre prêt immobilier ou de visualiser des images en 3D. Ces applications, écrites dans le langage de programmation Java et utilisées par le biais de votre navigateur, sont appelées « applets ». Les entreprises utilisent également des applets Java pour leurs applications intranet et autres solutions d'e-business.

> Pour en savoir plus sur Java ► https://www.java.com/fr/about/

Après avoir téléchargé Java, visitez le site java.com pour découvrir les derniers jeux, logiciels et lecteurs multimédia Java.

0
alib Messages postés 3288 Statut Contributeur 112
 
^^ :)
0
Réponse 24 / 46
Legland Messages postés 19 Statut Membre
 
Bon, ce matin pas de trace de Windows security alert. Je sais pas mais je préfère attendre demain pour crier victoire et déclarer ce pbme résolu....Je sais pas si y'a un délai de prudence ou s'il faut que je soigne ma parano informatique... En tout cas, le nettoyage a fait du bien, j'ai trouvé c cleaner très pratique pour faire le vide grenier....

Pour ce qui est de la maintenance, je ne connais pas trop les délais raisonnable pour lancer tous ces outils: Avast, Ad-aware, spybot, clean up, C cleaner ( 1 fois/mois, 1fois/semaine....?).
C'est utile aussi de faire un nettoyage régulier avec AVG ?

Voilà, je vous le moyen de vous importuner encore avec mes questions mais tant que j'y suis....

a +
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Salut

Supprime tous les logiciels que l'on t'a fait installer
Pour compléter le nettoyage
· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

1 anti virus
1 pare feu
Ad-aware
Spybot
Ccleaner

( 1 fois/mois, 1fois/semaine....?).
Tu es seul juge, tout dépend la façon dont tu navigues
Perso, 1 fois/semaine
je ne suis pas seule sur mon PC...


C'est suffisant

A++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 46
Legland Messages postés 19 Statut Membre
 
Bonjour,

Voici le rapport Tcleaner:

-->- Recherche:

C:\Documents and Settings\Erwan\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Erwan\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Erwan\Bureau\Navilog1.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Erwan\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Point de restauration crée !
Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée!

Pour résumer, j'ai
avast
kerio ( celui je l'avais pas, ct le pare feu windows xp)
spybot
ad aware (celui là non plus je l'avais pas, j'avais juste spybot)
C cleaner ( je l'avais pas non plus)

Avec ça et un nettoyage/semaine ( ou quand ça me prend....), ça devrais être un peu plus costaud comme protection.

Demain matin, je m'ouvre une petite bière à la santé des informaticiens et je déclare solennellement le probème résolu....
0
Réponse 26 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
OK

Super

Pour moi cela sera un Bourbon, -- merci, -- sans glace --

Bonne route

A++

0
Réponse 27 / 46
alib Messages postés 3288 Statut Contributeur 112
 
Génial ;)))

mon avis: grand parano, mais mon pc est utilisé en moyenne 20h sur 24,

nettoyage quasiment journalier avec le ccleaner (cookies et fichiers temp)
antispy et antivirus 1 par semaine.
navigateur principal: firefox avec ses plugins, "effacer ses traces" à chaque transaction de code secret (bancaire, perso) et lorsque je quitte la navigation
naviguer en session utilisateur ou installer le dropmyrights, voir astuce: http://www.commentcamarche.net/faq/sujet 8052 mode administrateur ou utilisateur sous xp

Bien protégé, c'est prévenir pour mieux guérir!
bonne route
;))
0
Réponse 28 / 46
Legland Messages postés 19 Statut Membre
 
Bon c'est pas pour vous dire mais je crois que pour la bière et le bourbon sans glace, faudra attendre un peu....

Windows security alert est revenu se balader sur mon ecran a mon plus grand desarroi. C'est quand ma femme est allée sur le net depuis sa session qu'il est apparu (au bout de 3-4minutes alors que sur ma session j'y ai bien navigué 20-30 min sans problèmes)... Je crois que ça reste sans commentaires... Au moins j'ai localisé le virus. Par contre pour la desinfection je suis un peu perplexe: ça fait 8 ans que je cherche une solution...Alors si vous avez une idée, je prends.

Trêve de c..., je me demande si j'ai pas fais une mauvaise manipulation lors de la phase de nettoyage.

J'ai suivi ce qu'alib m'a dit au message 20. mais peut être que je l'ai mal compris entre le mode sans echec et normal....

J'ai redemarré en mode sans echec, nettoyage avec smit fraudix ( sur le mode normal, y'a trois comptes d'utilisateurs, là y'en avait un 4eme = administrateur, peut être que j'aurais du aller sur celui là?. Puis je suis repassé en mode normal, desactive point de restauration, nettoyer avec avg et c cleaner, recrée un point de restauration.

C'est au cas où j'aurais mal procédé, sais-t-on jamais... Si vous êtes un peu perplexe, je peux tout recommencer depuis le début ce week end. Mais faut pas que je me gourre entre quoi faire en mode sans echec et en mode normal, vu que je suis un peu gland sur les bords (mais peut être pas autant que ma femme...).

Bon si vous avez idée de ce que je dois faire à part changer de femme, ce serait sympa. Là suis décidé à vaincre l'ennemi,je suis comme un soldat qui attend les ordres de ses généraux.

a plus....
0
Réponse 29 / 46
alib Messages postés 3288 Statut Contributeur 112
 
En effet pour chaque manip touchant au système il faut se mettre en MODE ADMINISTRATEUR
Lorsque tu étais en mode sans échec dans l'opération n°2 du smitfraud...
A mon avis l'infection a été réactivée et la désactivation des points de restauration n'ont servi à rien!
Réinstalles le smitfaudfix et recommences les opérations indiquées ci-dessus et rebelote, restauration, scan avg, ccleaner mais en mode Admin, cette fois ci
0
Réponse 30 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.


TU NE FAIS RIEN D'autresssss ,,,,, merciiiiii
Bon courage
A++
0
Réponse 31 / 46
Legland
 
Bonjour,

Pour ma part, bien dormi....

Voici le rapport:

SmitFraudFix v2.256

Rapport fait à 11:46:25,14, 01/12/2007
Executé à partir de C:\Documents and Settings\Erwan\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Erwan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Erwan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\Erwan\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Erwan\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Sinon, au moment où la boite de dialogue de l'analyse affichait "recherche de clés corrompues", une boîte de dialogue "Editeur de registre" est apparue et disait " la modification du registre a été desactivée par votre administrateur". J'ai cliqué plusieurs fois dessus avant qu'elle disparaisse et que l'analyse se poursuive.

Voilà....
0
Réponse 32 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
ON voit bien que lorsque tu as utiliser smitfraud la première fois, cela n'a pas fonctionné. ;;))

On continue

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 ((Si F8 ne marche pas utilise la touche F5)).
dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2,
répond oui à tous ;
Sauvegarde le rapport,
Redémarre en mode normal,
Copie/colle le rapport sauvegardé sur le forum


0
Réponse 33 / 46
Legland
 
Ok mais quand je redemarre en mode sans echec, je choisis quelle session d'utilisateur? La mienne ou la session "Administrateur" qui n'apparaî qu'en mode sans echec?
0
alib Messages postés 3288 Statut Contributeur 112
 
salut, pour moi c'est toujours en ADMIN
apparemment bizarre que marie n'en fasse pas état?
0
tribun Messages postés 73052 Date d'inscription   Statut Membre Dernière intervention   12 551 > alib Messages postés 3288 Statut Contributeur
 
ben cela est normal ,en ADM, vu qu'en utilisateur , on n'à pas tout les droits !
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279 > alib Messages postés 3288 Statut Contributeur
 
Il faut rester vigilant avec le Mode Administrateur 

On le répète sans cesse et on le redit encore une fois : 
Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. 
Le mode Administrateur donne des droits extrêmement étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update). 
Chaque application que vous lancez hérite des droits du compte qui lance cette application. 
Si vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont toutes des droits Administrateur. 
Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un zombie, les voler vos données ou les compromettre. 




si vous étiez allé sur le Net avec un compte d'utilisateur normal. Les crapules du Net n'ont pas besoin d'implanter un RootKit si vous leur donnez le mode Administrateur


http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

Il est vivement recommandé de créer un compte, autre que le compte Administrateur, si ce n'est déjà fait, afin de ne pas laisser cet accès à la disposition de tous.
Le mode Administrateur donne des droits extrêmement étendus et on ne doit l'utiliser qu'exceptionnellement (modifications ou mise à jour de Windows). Chaque application que vous lancez hérite des droits du compte qui la lance. Si vous êtes identifié en tant qu'administrateur, les applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et une personne mal intentionnée peut profiter de ces droits pour prendre le contrôle total de votre machine.
Ce nouveau compte sera utilisé pour les tâches quotidiennes. Il devra être protégé par un mot de passe digne de ce nom, tout comme le compte Administrateur (mais pas avec le même mot de passe).

Pourquoi ? L'administrateur c'est quoi ?

2 types de personnes ont accès aux PC : les administrateurs et les utilisateurs.
L'administrateur est la personne qui administre l'ordinateur (installation de programmes, configuration le système, maintenance). Il doit donc avoir accès à tous les dossiers du système pour réaliser ces opérations.
L'utilisateur est celui qui va utiliser les applications installées. Il faut que l'administrateur lui interdise l'accès aux dossiers du système.

Pourquoi ?

Parce que si les dossiers systèmes ne sont pas protégés et accessibles aux utilisateurs, ils seront la cible des virus et autres logiciels malveillants.
Windows considère par défaut l'administrateur et l'utilisateur comme une seule et même personne ! Ce qui est dangereux.

0
alib Messages postés 3288 Statut Contributeur 112 > ^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention  
 
Evidemment, tout à fait d'accord avec cet implacable théorie...

mais justement puisque L'administrateur est la personne qui administre l'ordinateur (installation de programmes, configuration le système, maintenance). Il doit donc avoir accès à tous les dossiers du système pour réaliser ces opérations. L'utilisateur est celui qui va utiliser les applications installées. Il faut que l'administrateur lui interdise l'accès aux dossiers du système. etc...

je pensais donc... que pour qu'une désinfection soit totalement efficace, il fallait se mettre dans ce mode, de surcroit en mode sans échec (sans risque d'intrusion?...), ... en tout cas jusqu'à présent c'est toujours ce que j'ai fait et préconisé... et j'ai jamais eu de problème...?...
me serais-je trompé???
0
Réponse 34 / 46
Legland Messages postés 19 Statut Membre
 
J'ai effectué le nettoyage avec smitfraudix en mode sans echec sur ma session habituelle, je ne pouvais accéder à fichier smitfraudix depuis la sessions administrateur.
J'ai eu un souci, lorsque dans l'invite de commande, "voulez vous nettoyer le registre?" s'est affiché. J'ai répondu O+ entrée. Une boîte de dialogue "editeur de registre" m'informait que "la modification du registre a été desactivée par votre adminstrateur".

j'ai appuyé sur ok et la boîte est reapparue ( dans l'invite de commande, rien ne bougeait), j'ai du tapoter une douzaine pour que l’analyse continue.


Voici le rapport


SmitFraudFix v2.256

Rapport fait à 13:02:48,53, 01/12/2007
Executé à partir de C:\Documents and Settings\Erwan\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 35 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Je passe en courant d'air pour ton soucis

Télécharge Zeb-Restore

http://telechargement.zebulon.fr/zeb-restore.html

enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant : Réinitialiser Fichier Hosts
- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC
0
Réponse 36 / 46
Legland Messages postés 19 Statut Membre
 
Pas de soucis pour le courant d'air sur mon pc, j'ai tout mon temps pour résoudre le pbme....

J'ai fais comme tu dis avec Zeb-restore.

Alib et Tribun, j'ai pas réussi en mode admin a accéder à smitfraudix, je l'avais pourtant enregistré sur mon bureau depuis ma session... je vais regarder la page ccm sur le mode utilisateur, mine de rien avec ce souci, j'apprends des petits trucs qui me rendent un petit peu moins con et surtout ça stimule la curiosité....
0
alib Messages postés 3288 Statut Contributeur 112
 
je m'incrustre entre 2 "en coup de vent" ;)
faudra (marie dit nous...) m'expliquer le mode admin, car pour moi j'ai tjs mais TOUJOURS opéré les désinfections dans ce mode et pensais qu'avec le mode util ça ne marchait pas.. puisque l'on pas les autorisations sur le système...
par exemple un copain a eu le même genre d'infection que toi legland je me suis mis en mode admin sur son pc, passé le smitfraud option 1 et 2, un coup de genpro par sécu, réparé le registre, désactivé les points de restauration, un avg, un ccleaner, lui désactivé des programmes au démarrage et des toolbars inutiles et depuis impec!
voilà, je suis ton affaire...
@+
0
Réponse 37 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Refais smitfraud option 1
0
Réponse 38 / 46
Legland Messages postés 19 Statut Membre
 
C'est fait. Au moment ou recherche de clé corrompues et élements de bureau, une boîte de dialogue est apparue( la même que tout a l'heure avec modification du système desactivée par votre administrateur).

Voici le rapport:

SmitFraudFix v2.256

Rapport fait à 15:40:48,60, 01/12/2007
Executé à partir de C:\Documents and Settings\Erwan\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Erwan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Erwan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Erwan\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{242CCBB5-6CE9-494B-8AAC-561BA97A9984}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD2FB42-5CE5-423E-B08F-A5232CA35D5F}: DhcpNameServer=212.27.39.2 212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 39 / 46
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
OK

Fichier hosts corrompu ! ► réparés

Donc faire le point de tes symptômes
et un nouveau log hijackthis

0
Réponse 40 / 46
alib Messages postés 3288 Statut Contributeur 112
 
^^... mais où est passé legland?
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Pour peu que le sanglier soit passé ;;;))
0