System alert encore

Résolu
BIJOU -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Au secours! J'y connais rien en informatiqe et depuis un certain temps je recois ce message :
"System Alert !
System has detected a number of active spyware applications that may impact the performance of your computer. Click the icon to get rid of unwanted spyware by downloading an up-to-date antispyware solution"

J'ai commencé à suivre une procédure proposé sur ce forum par papyber; le bloc note s'est ouvert et voilà ce qu'il dit:

Search Navipromo version 3.5.0 commencé le 16/03/2008 à 16:49:51,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\shghhgbq\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\shghhgbq\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\shghhgbq\menudm~1\progra~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\shghhgbq\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\shghhgbq\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :

*** Analyse terminée le 16/03/2008 à 16:57:11,67 ***

JE FAIS QUOI MAINTENANT?!!!!!!!!!........
Configuration: Windows XP
Internet Explorer 7.0

3 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,
    rien dans navilog

    ____________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.

    attends ma reponse avant de faire la troisieme partie:

    3/ redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis refaire comme en 2/ mais sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée
    0
    1. BIJOU
       
      Salut et merci de bien vouloir m'aider!

      Voici donc le rapport de l'étape 2:

      SmitFraudFix v2.305

      Rapport fait à 19:09:32,28, 16/03/2008
      Executé à partir de C:\Documents and Settings\shghhgbq\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Apps\Powercinema\PCMService.exe
      C:\Program Files\HP\Temp\HP Software Update\HPWuSchd2.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\WINDOWS\ALCWZRD.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\apps\ABoard\ABoard.exe
      C:\apps\ABoard\AOSD.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
      C:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
      C:\Program Files\HP\Temp\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
      C:\Program Files\HP\Temp\Digital Imaging\bin\hpqgalry.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\NOTEPAD.EXE
      C:\Program Files\microsoft office\office10\WINWORD.EXE
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\shghhgbq


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\shghhgbq\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\shghhgbq\Favoris

      C:\DOCUME~1\shghhgbq\Favoris\Online Security Test.url PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Bureau

      C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
      C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}"="auras"

      [HKEY_CLASSES_ROOT\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
      @="C:\WINDOWS\system32\xskmoqx.dll"

      [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{f0d4f88e-e1f8-460f-a41c-6cfb7f73af79}\InProcServer32]
      @="C:\WINDOWS\system32\xskmoqx.dll"



      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: WAN (PPP/SLIP) Interface
      DNS Server Search Order: 212.151.137.166
      DNS Server Search Order: 212.151.136.246

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C09F65C-1177-4D7D-8FD6-51B6BE1A2CAE}: NameServer=212.151.137.166 212.151.136.246
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{6C09F65C-1177-4D7D-8FD6-51B6BE1A2CAE}: NameServer=212.151.137.166 212.151.136.246


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais la troisieme partie et dis si encore des soucis et colle moi le rapport
    0
    1. BIJOU
       
      jlpjlp, tu déchires!

      Plus de pop up grâce à toi!

      Merci beaucoup pour ce que tu fais pour les pauvres ignares que nous sommes!

      Bonne soirée à toi!
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    pour verifier si rien d'autre:

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0