Sujet Précédent Sujet Suivant

Harcelé par un programme publicitaire

popof35 Messages postés 72 Statut Membre -  
popof35 Messages postés 72 Statut Membre -
Bonjour,
je suis envahi par des pages publictaires qui s'ouvrent (meme si je ne suis pas connecté) ttes les 2 min pendant 10 min, puis ca recommence toutes les 1/2heure....ca fait comme un cycle en fait.ca a commencé ya 5 ou 6 jours.
j'ai scanné avec plusieurs antispyware (windows defender, spybot, avg) puis antivirus (avg, avast) mais ca ne change rien a mon problème, c'est toujours persistant. avg a quand meme trouvé un trojan.
bref, si quelqu'un pouvait m'aider svp, car c horrible je ne peux rien faire !!
merci
A voir également:

47 réponses

Précédent
Réponse 21 / 47
popof35 Messages postés 72 Statut Membre 1
 
voila le rapport avec clean

09/03/2008 a 17:37:41,15

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Everest Poker\" FOUND
*** Fin du rapport !
0
Réponse 22 / 47
popof35 Messages postés 72 Statut Membre 1
 
09/03/2008 a 17:37:41,15

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Everest Poker\" FOUND
*** Fin du rapport !
0
Réponse 23 / 47
dou-l Messages postés 2871 Statut Membre 61
 
Pour l'envoi du fichier à Malekal c'est pas grave; c'est juste pour qu'il perfectionne son outil.

Maintenant on passe à la suite:

Redémarre en Mode Sans Echec

Puis double clic sur clean.cmd (comme tout à l'heure) .
Au menu principal choisis 2 et valide.
Poste le rapport dans ta prochaine réponse.
0
popof35 Messages postés 72 Statut Membre 1
 
voila le resultat

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 09/03/2008 a 18:01:47,93

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Everest Poker\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
popof35 Messages postés 72 Statut Membre 1
 
cette opération a supprimer un logiciel ( de poker) que j'utilise depuis un an ou deux et avec lequel je n'ai jamais eu de probleme...hors mon pb n'est survenu que depuis 8 jours. toujours ces messages publicitaires, rien a y faire
0
Réponse 24 / 47
dou-l Messages postés 2871 Statut Membre 61
 
Ok on va l'avoir.

télécharge smitfraudfix

-Double clique sur SmitfraudFix.exe
-Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt poste le rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 47
popof35 Messages postés 72 Statut Membre 1
 
merci beaucoup pour ton aide

voila le rapport

SmitFraudFix v2.300

Rapport fait à 18:21:17,20, 09/03/2008
Executé à partir de C:\Documents and Settings\popov\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\cfmom.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\popov

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\popov\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\popov\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Generic Marvell Yukon Chipset based Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 26 / 47
dou-l Messages postés 2871 Statut Membre 61
 
toujours pareil ?
0
popof35 Messages postés 72 Statut Membre 1
 
toujours pareil dou-l, rien ne se passe
0
Réponse 27 / 47
dou-l Messages postés 2871 Statut Membre 61
 
télécharge sdfix:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Télécharge le sur le bureau

-
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

-Redémarre ton ordinateur
-Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
-A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
-Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
-Choisis ton compte.
-Déroule la liste des instructions ci-dessous :
-Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
-Appuie sur Y pour commencer le processus de nettoyage.
-Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
-Appuie sur une touche pour redémarrer le PC.
-Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
-Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
-Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
-Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
popof35 Messages postés 72 Statut Membre 1
 
j'ai fais la manip, toujours pareil...par contre ma page d'acceuil est devenu msn, j'ai eu un message bizar en anglais et en faisant une manip avant ca ( j'ai fais le choix 2 en mode sans echec avec le programme smitfraudfix) je me retrouve avec un fond d'écran tout bleu !

voila le rapport sinon


[b]SDFix: Version 1.154 [/b]

Run by popov on 09/03/2008 at 19:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-09 19:11:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:8c,34,1c,28,b0,27,40,df,c7,b3,71,ac,eb,36,dc,cf,1b,c7,6a,c2,46,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,59,58,e3,eb,a0,3a,36,66,5c,75,ab,12,b9,50,7e,64,..
"khjeh"=hex:29,4b,04,cf,94,e8,73,6f,94,33,66,9e,fc,ec,a3,e4,6e,3d,c5,33,a3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1e,6f,33,16,25,32,95,bf,57,97,73,96,cb,82,a0,b4,7f,48,2b,af,50,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:8c,34,1c,28,b0,27,40,df,c7,b3,71,ac,eb,36,dc,cf,1b,c7,6a,c2,46,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,59,58,e3,eb,a0,3a,36,66,5c,75,ab,12,b9,50,7e,64,..
"khjeh"=hex:29,4b,04,cf,94,e8,73,6f,94,33,66,9e,fc,ec,a3,e4,6e,3d,c5,33,a3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1e,6f,33,16,25,32,95,bf,57,97,73,96,cb,82,a0,b4,7f,48,2b,af,50,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Neo Mule\\emule.exe"="C:\\Program Files\\Neo Mule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
"C:\\WINDOWS\\system32\\mcoinstall.exe"="C:\\WINDOWS\\system32\\mcoinstall.exe:*:Enabled:mcoinstall"
"C:\\Documents and Settings\\popov\\Mes documents\\Divers\\Neo_Mule_v4.50_Beta3a_binary\\emule.exe"="C:\\Documents and Settings\\popov\\Mes documents\\Divers\\Neo_Mule_v4.50_Beta3a_binary\\emule.exe:*:Disabled:eMule"
"C:\\Documents and Settings\\popov\\Local Settings\\Temp\\Rar$EX14.296\\emule.exe"="C:\\Documents and Settings\\popov\\Local Settings\\Temp\\Rar$EX14.296\\emule.exe:*:Disabled:eMule"
"C:\\Documents and Settings\\popov\\Local Settings\\Temp\\Rar$EX05.828\\emule.exe"="C:\\Documents and Settings\\popov\\Local Settings\\Temp\\Rar$EX05.828\\emule.exe:*:Disabled:eMule"
"C:\\Documents and Settings\\popov\\Mes documents\\Divers\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe"="C:\\Documents and Settings\\popov\\Mes documents\\Divers\\eMulev0.48a.-MorphXTv10.2-bin\\emule\\eMule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"="C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe:*:Enabled:Football Manager 2008"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Fri 19 Nov 2004 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1211.exe"
Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1215.exe"
Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\AcerDRV\rescan.exe"
Fri 19 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\InsD1211.exe"
Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\InsD1215.exe"
Wed 6 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\KCMDNIns.exe"
Wed 16 Nov 2005 24,576 A..HR --- "C:\WINDOWS\system32\Kill1211.exe"
Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Fri 11 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Thu 7 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\reboot.exe"
Sat 20 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\RemD1211.exe"
Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\RemD1215.exe"
Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\system32\rescan.exe"
Sun 14 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

[b]Finished![/b]
0
Réponse 28 / 47
dou-l Messages postés 2871 Statut Membre 61
 
Compris:

Télécharge Vundofix: http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
0
popof35 Messages postés 72 Statut Membre 1
 
ok je fais la manip, j'espere que ca vva marcher, jte remercie beaucoup en tout cas, jte dis ce que ca donne
0
Réponse 29 / 47
popof35 Messages postés 72 Statut Membre 1
 
toujourd rien, ca na rien trouver, donc je n'ai pas eu a redémarrer. mon fond d'écran est toujours bleu et un nouveau dossier est apparu sur mon bureau sous le nom de Msnfix. je suis perdu !
0
Réponse 30 / 47
dou-l Messages postés 2871 Statut Membre 61
 
Je vais chercher du soutien ;)
0
Réponse 31 / 47
popof35 Messages postés 72 Statut Membre 1
 
merci, tout de suite quand je me suis connecté sur le forum la page a disparu et c'est un message en anglais qui a pris place en me disant en gros de protéger contre les virus, puis j'ai du fermer la page, pas d'autre choix. c la 2ème fois que ca m'arrive depuis 20 min, j'avais pas ce genre de pb avant....vraiment bizar la. msn est devenu ma page de démarrage....merci de ton aide, j'espère qu'on va y arriver
0
Réponse 32 / 47
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

démarre en mode sans échec, et passe l'option 2 de smitfraud, poste le rapport stp

++
0
Réponse 33 / 47
popof35 Messages postés 72 Statut Membre 1
 
ok je fais ca, merci
a de suite
0
Réponse 34 / 47
popof35 Messages postés 72 Statut Membre 1
 
voila le rapport

SmitFraudFix v2.300

Rapport fait à 20:03:00,68, 09/03/2008
Executé à partir de C:\Documents and Settings\popov\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8B64BAF6-5795-4C6C-BB7B-78BE8927E132}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 35 / 47
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
résume les soucis qui restent stp

++
0
Réponse 36 / 47
popof35 Messages postés 72 Statut Membre 1
 
ma page de démarrage internet est devenu msn, mon fon d'écran est tout bleu depuis la manip avec smitfraud, le site virusgarde.com apparait soudainement lorsque je suis sur une page internet et du coup je suis obligé de fermer l'application, et ca aussi c venu depuis que j'ai fdais les manip tout a l'heure, avant je n'avais pas ca.
Et mon problème d'origine est toujours present, a savoir des pubs apparaissent tout le tmps sur mon écran, avec des liens publicitaires bien sur mais ca n'apparait pas sur une page internet, ce sont des pubs qui apparaissent comme ca et qui me prennent la moitié de l'écran, ca dure 20sec, et ca disparait. puis ca revient...tout le temps
0
Réponse 37 / 47
Rainbow94
 
nous sommes passé d un petit probléme a un GROS blém
0
popof35 Messages postés 72 Statut Membre 1
 
c clair je commence a flippé
0
Réponse 38 / 47
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ma page de démarrage internet est devenu msn,

==> vois si c'est possible de la changer !

on fon d'écran est tout bleu depuis la manip avec smitfraud,

c'est normal, tu peux remettre celui d'origine

pour les pages de pub, reposte un nouveau navilog

++
0
Réponse 39 / 47
popof35 Messages postés 72 Statut Membre 1
 
voila le rapportSearch Navipromo version 3.5.0 commencé le 09/03/2008 à 20:31:57,87

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\popov\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\popov\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\popov\menudm~1\progra~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\popov\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\popov\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :

*** Analyse terminée le 09/03/2008 à 20:35:53,21 ***
0
Réponse 40 / 47
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
poste un nouveau hijack stp

++
0

Discussions similaires

"BONJOUR" : utilité de ce programme???
sunbeep -
onizukaille -

5 réponses
A quoi sert l'application Bonjour?
patrick -
Ysis -

4 réponses