Help Virus Fermé

Question

Bonjour,
depuis quelques jours, lorsque je clique sur  un lien, ma page Web est redirigée vers Hrena.com.
suivant vos condeils, j'ai telecharg un "fix" que j'ai lancé dont voici le resultat:

    Username "Administrateur" - 11/02/2008 15:10:50 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdbff.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.91 85.255.112.114" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{2123D175-45BC-4236-9072-F6B4D3B0E29D} 
"nameserver"="85.255.114.91,85.255.112.114" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{E75E662A-8B9B-48AA-8306-7D3992A98769} 
"nameserver"="85.255.114.91,85.255.112.114" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{745F44D9-33B5-4C8C-9F94-FE034E6A3370}
"DhcpNameServer"="85.255.114.91,85.255.112.114" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{E75E662A-8B9B-48AA-8306-7D3992A98769}
"DhcpNameServer"="85.255.114.91,85.255.112.114" <Value cleared.

Cache de r‚solution DNS vid‚.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINNT\Temp\kdbff.ren 73760 19/06/03 


C:\Program Files\Perfect Codec < Found 
C:\Program Files\Media-Codec < Found 
Additional tools are recommended.  

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"IgfxTray"="C:\WINNT\system32\igfxtray.exe"
"HotKeysCmds"="C:\WINNT\system32\hkcmd.exe"
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe"
"dla"="C:\WINNT\system32\dla\tfswctrl.exe"
"Broadcom Wireless Manager UI"="C:\WINNT\system32\bcmntray"
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless"
"ccApp"="\"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe\""
"SSC_UserPrompt"="\"C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe\""
"Client Server Runtime Process"="C:\WINNT\system32\csrs.exe"
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN"
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe"
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe"
"WinAntiVirusPro2006"="\"C:\Program Files\WinAntiVirus Pro 2006\WinAV.exe\" /min"
"Microsoft (R) Windows Update Service"="C:\xbie.exe"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
"ZangoOE"="C:\Program Files\Zango\bin\10.1.181.0\OEAddOn.exe"
"ZangoSA"="\"C:\Program Files\Zango\bin\10.1.181.0\ZangoSA.exe\""
"Salestart"="\"C:\Program Files\Fichiers communs\MonContenuassistant\mc.exe\" dm=http://moncontenuassistant.com ad=http://moncontenuassistant.com sd=http://paylogs.moncontenuassistant.com"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"TVAgent WiFi"="C:\Program Files\Kit ADSL\Wizard\Agent_WiFi.exe"
"WeatherDPA"="\"C:\Program Files\Zango\bin\10.1.181.0\Weather.exe\" -auto"
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Je n'y connait absolument rien, quelqu'un pourrait m'aiguiller ???
merci et bonne aprés midi.

oiseau60 · Answer

bonjour
c'est quoi ton antivus activé sur ton ordi...!!
tu dis :lorsque je clique sur un lien  !!! explique : ce lien à partir d'internet explorer , msn ,...ou !!!

Saiyen75 · Answer

Salut

Colle un Log hijackthis :

télécharge HijackThis ici : 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

 Dézippe  le dans un dossier 
Par exemple C:\hijackthis < Enregistre le bien dans c:\

Lance le puis: 
clique sur  "do a system scan and save logfile"  
faire un copier coller du log et le poster sur le forum

Tuto ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

_____________________________________________________

- Télécharger et installer AVG Anti-Spyware 7.5 (si tu ne l'as pas déjà).

https://www.avg.com/en-ww/free-antivirus-download 

Lancer AVG Anti-Spyware. 
Cliquer sur le menu Mise à jour. 
Dans le paragraphe "Mise à jour manuelle", cliquer sur le bouton "Commencer la mise à jour". 
Attendre la fin de cette mise à jour puis fermer le programme. 


- Lance AVG Anti-Spyware 7.5 

Cliquer sur le menu" Analyse" (de la barre d'outils). 
Cliquer sur l'onglet "Paramètres". 
Dans "Comment réagir"? cliquer sur "Actions recommandées" et choisir "Quarantaine". 
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées. 
Vérifier que le bouton-radio "Générer un rapport après chaque analyse" soit aussi coché. 
Dans l'onglet "Analyse" 
Cliquer sur "Analyse complète du système". 
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche. 
Très important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions" 
Ensuite. 
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 
(C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports ) 
Puis fermer AVG Anti-Spyware. 

_____________________________________________________

++

garfield78 · Answer

j'ai norton, mais la lience à expiré.

je suis reirigé lorque sur google ou msn, je lance une recherche.

j'ai déja essayé HijackThis, mais avant la fin du scan, un mssage d'erreur m'éteint toutes les fenetres internet, et je suis obligé d'arreter le scan.
Je suis en train de tenter un scan  AVG Anti-Spyware 7.5.

merci pour votre votre aide.

garfield78 · Answer

V
oila le resultat de mon scan :

__________________________________________________
ewido anti-spyware online scanner
	https://www.avg.com/en-us/free-antivirus-download
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[3].txt
Risk: Medium


Name: TrackingCookie.Clickbank
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@clickbank[1].txt
Risk: Medium

Name: TrackingCookie.Webtrends
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Msn
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@search.msn[1].txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@stats.adbrite[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
Risk: Medium

Name: Adware.Generic
Path: HKLM\SOFTWARE\Classes\EMediaCodec.Chl
Risk: Medium

Name: Adware.Generic
Path: HKLM\SOFTWARE\Classes\EMediaCodec.Chl\CLSID
Risk: Medium

Name: Adware.Generic
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\FWSvc
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\FWSvc\Security
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\FWSvc\Enum
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf\Security
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf\Enum
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Security
Risk: Medium

Name: Adware.WinAntiVirus
Path: HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-21-1482476501-436374069-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Adware.SpywareQuake
Path: HKU\S-1-5-21-1482476501-436374069-839522115-500\Software\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}
Risk: Medium

Name: Adware.SpywareQuake
Path: HKU\S-1-5-21-1482476501-436374069-839522115-500_Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}
Risk: Medium

Name: Adware.BHO
Path: C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll
Risk: Medium

Name: Trojan.Small
Path: C:\Program Files\Media-Codec
Risk: High

Name: Adware.ClickMedia
Path: C:\WINNT\Downloaded Program Files\installer2.dll
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.f
Path: C:\WINNT\Downloaded Program Files\UWA6PV_0001_N73M1004NetInstaller.exe
Risk: Low

Name: Trojan.Small
Path: C:\WINNT\system32\1024
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ld24C8.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ld579E.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ld895E.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ld938E.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldA232.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldA333.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldA560.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldB3F9.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldB916.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldC210.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINNT\system32\1024\ldC53E.tmp
Risk: High

Name: Adware.WinAntiVirus
Path: C:\WINNT\system32\av.cpl
Risk: Medium

Name: Trojan.Small
Path: C:\WINNT\system32\interf.tlb
Risk: High

Name: Trojan.Fakealert
Path: C:\WINNT\Temp\NI.UWA6PV_0001_N73M1004\setup.exe
Risk: High


______________________________________________________________________________________________________
______________________________________________________________________________________________________


C'est grave docteur ?

oiseau60 · Answer

selon le rapport il ya bcp de virus detectés...
si t'es un peu doué en informatik , attends  la reponse de sayen75 pour une aide approfondie...
sinon je te conseille une methode simple :
1- essaie de supprimer norton et tout autre antivirus installé,puis redemarre le pc.si t'arrives pas à supprimer norton ,desactive le et 2-installe un autre plus performant...voici le lien :
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html
il est gratuit ,efficasse mais en anglais (pas tres compliké).une fois tu l'installe ,tu accepte la mise à jour de l'antivirus (update),puis tu fais un scan general :local drive)...l'antivirus va detecter tous les virus ,il t'envoie un message d'alerte de detection,toi tu dois juste suivre son conseil :ok pour quarantaine.
3- au lieu d'utiliser internet explorer ,installe firefox c un navigateur plus rapide et sans spasme:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/29641.html
bonne chance

Saiyen75 · Answer

Re, 

En effet, plusieurs infections détecté notemment des trojans dans system32,
l' Adware SweetIM, on va faire du néttoyage, Suis les conseil d'oiseau60 au niveau de l'antivirus, 
Désinstalle d'abord Norton par la :

Pour Desinstaller Norton : 

Suivre les instructions de ce lien  :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/e1422b2508cec946882568c70062bbf8/1168d30686f6fdb080256fe3003757be?OpenDocument

------------------------------------------------------------

Ensuite installe Antivir (lien inviqué par oiseau60).
Fait les mises à jours, puis lance un scan (si des virus sont découverts, mets les en quarantaine. Si tu ne peux pas alors supprime les). 
A la fin du scan clique sur 'report', enregistre ce rapport sur le bureau (fichier => enregistrer sous), puis fait un copier/coller de ce rapport dans ton prochain message. 

------------------------------------------------------------

Aprés tu va désinstaller : Media Codec puis SweetIM (si présent dans la liste)

---> Poste de travail
---> Ajout/Suppression de programmes
---> Dans la liste chercher Media Codec
---> Désinstaller

Faire pareil pour SweetIM.

------------------------------------------------------------

Essaye de faire un autre HijackThis. Télécharge bien celui du lien que je t'ai passé.

++

James · Answer

Le best et le plus simple est de desinstaller norton dans paneau de configuration et jout et suprimer des programmes ou sous vista dans paneau de configuration et programmes et fonctionalités

James · Answer

au message précedent j'ai oublier de dire apres d'installer avg 8.0 free edition il va tout enlever tes virus en un clin d'oeil.

Help Virus

8 réponses

Discussions similaires