A voir également:
- Win32:Winmorph[Crypt]
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Win32/offercore ✓ - Forum Virus
- Puabundler win32 - Forum Virus
- Hacktool win32 - Forum Virus
3 réponses
Utilisateur anonyme
20 avril 2008 à 15:49
20 avril 2008 à 15:49
Bonjour,
Peux tu faire ce stp ? :
> Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau : http://www.techsupportforum.com/sectools/Deckard/dss.exe
- Choisis <enregistrer> et <Bureau> pour l'emplacement.
- Ferme toutes les applications en cours (même internet). C'est important car sinon le PC peut planter.
- Double-clique sur dss.exe pour lancer l'outil.
- S'il ne trouve pas HijackThis, clique sur Oui.
- Clique sur OK à chaque fois que cela te sera demandé.
- Une fois l'analyse finie un rapport s'affichera. Poste son contenu dans ta réponse stp.
NB : Le rapport se trouve aussi ici : C:\Deckard\System Scanner\main.txt
PS : Si tu obtiens deux rapports (main.txt + extra.txt) alors poste les deux stp.
Attention : les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
Bon courage,
A+
Peux tu faire ce stp ? :
> Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau : http://www.techsupportforum.com/sectools/Deckard/dss.exe
- Choisis <enregistrer> et <Bureau> pour l'emplacement.
- Ferme toutes les applications en cours (même internet). C'est important car sinon le PC peut planter.
- Double-clique sur dss.exe pour lancer l'outil.
- S'il ne trouve pas HijackThis, clique sur Oui.
- Clique sur OK à chaque fois que cela te sera demandé.
- Une fois l'analyse finie un rapport s'affichera. Poste son contenu dans ta réponse stp.
NB : Le rapport se trouve aussi ici : C:\Deckard\System Scanner\main.txt
PS : Si tu obtiens deux rapports (main.txt + extra.txt) alors poste les deux stp.
Attention : les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
Bon courage,
A+
Utilisateur anonyme
4 mai 2008 à 13:05
4 mai 2008 à 13:05
Je fais quoi maintenant ???
Tout d'abord tu pourrais commencer par dire bonjour.
:)
Ensuite Christophe = maximor mais pas dearx. Non ?
A moins que tu ais changé de pseudo ?
A+
PS : Tu sembles avoir un détournement de bureau...
Tout d'abord tu pourrais commencer par dire bonjour.
:)
Ensuite Christophe = maximor mais pas dearx. Non ?
A moins que tu ais changé de pseudo ?
A+
PS : Tu sembles avoir un détournement de bureau...
Oups... tu as raison, que je suis malpoli....!!!
Désolé...
Mais il est vrai que cela fait une semaine que je suis infecté et ça commence à me gonfler... je sais qu'il n'y a rien de trop grave mais bon...
Quant à mon pseudo, je l'ai depuis plusieurs années et je suis modérateur-animateur sur le forum d'un site de photo bien connu....
Maximor
Désolé...
Mais il est vrai que cela fait une semaine que je suis infecté et ça commence à me gonfler... je sais qu'il n'y a rien de trop grave mais bon...
Quant à mon pseudo, je l'ai depuis plusieurs années et je suis modérateur-animateur sur le forum d'un site de photo bien connu....
Maximor
Je me suis permis de mettre mon message ici car le sujet était similaire à celui de l'auteur du topic...
J'ai pas mal de "tracking cookies" et à un moment, j'avais pas mal de fenêtres de pubs qui s'ouvraient..
Je ne peux pas restaurer;
Et quand je lance spybot ou adaware, le scan se fait plus ou moins correctement mais à 95% de celui-ci, ne erreur survient... et apparemment, un fichier system et 4 fichiers exe de spybot sont infectés...
Et avec adaware, je ne peux même plus faire les mises à jour...
Sinon, j'ai AVAST.....
Alors, est-ce que je dois désinstaller adaware et spybot et avast et les réinstaller en mode sans échec ??
Merci d'avance...
Maximor
J'ai pas mal de "tracking cookies" et à un moment, j'avais pas mal de fenêtres de pubs qui s'ouvraient..
Je ne peux pas restaurer;
Et quand je lance spybot ou adaware, le scan se fait plus ou moins correctement mais à 95% de celui-ci, ne erreur survient... et apparemment, un fichier system et 4 fichiers exe de spybot sont infectés...
Et avec adaware, je ne peux même plus faire les mises à jour...
Sinon, j'ai AVAST.....
Alors, est-ce que je dois désinstaller adaware et spybot et avast et les réinstaller en mode sans échec ??
Merci d'avance...
Maximor
Utilisateur anonyme
4 mai 2008 à 13:41
4 mai 2008 à 13:41
Ok,
alors puisque Dearx n'a pas répondu....tu prends sa place...
Dis moi tout d'abord si tu as volontairement installé ces liens sur ton PC :
http://membres.lycos.fr/caesarome/images/fantassin.gif
http://membres.lycos.fr/caesarome/images/cavalier.gifO24
Ensuite,
pas besoin de désinstaller tes logiciels de protection. N'y touches pas stp.
Maintenant je te propose un nettoyage de printemps :
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver...
> Télécharge MalwareByte's Anti-Malware :
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") puis ferme le programme.
NB : Si tu as besoin : Tuto
> Télécharge et installe Ccleaner :
- Fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.
> Télécharge Clean (de Malekal Morte) (différent de Ccleaner)
> Télécharge SDFix (de AndyManchesta) sur ton bureau :
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix. Ferme ensuite le programme.
> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.
> Démarre en mode sans échec : (image). Si problème : tuto ici
> Lance MalwareByte's Anti-Malware,
- Clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- Un rapport va être généré (le dernier après supression des infections) : sauvegarde le et poste le sur forum stp.
> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
> Pour Clean (encore en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean (Le rapport clean se trouve ici : C:\rapport_clean.txt)
NB : Si besoin : Tuto
> Pour SDFix (toujours en mode sans échec) :
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commence....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
> Relance ton PC en mode normal
> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis stp,
Bon courage,
:)
NB : N'oublie pas de poster TOUS les rapports stp ( MalwareByte's Anti-Malware, Clean (différent de Ccleaner - ne poste pas celui de Ccleaner), SDFix puis HiJAckT).
N'oublie pas de me dire pour les deux liens aussi.
A+
alors puisque Dearx n'a pas répondu....tu prends sa place...
Dis moi tout d'abord si tu as volontairement installé ces liens sur ton PC :
http://membres.lycos.fr/caesarome/images/fantassin.gif
http://membres.lycos.fr/caesarome/images/cavalier.gifO24
Ensuite,
pas besoin de désinstaller tes logiciels de protection. N'y touches pas stp.
Maintenant je te propose un nettoyage de printemps :
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver...
> Télécharge MalwareByte's Anti-Malware :
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") puis ferme le programme.
NB : Si tu as besoin : Tuto
> Télécharge et installe Ccleaner :
- Fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.
> Télécharge Clean (de Malekal Morte) (différent de Ccleaner)
> Télécharge SDFix (de AndyManchesta) sur ton bureau :
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix. Ferme ensuite le programme.
> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.
> Démarre en mode sans échec : (image). Si problème : tuto ici
> Lance MalwareByte's Anti-Malware,
- Clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- Un rapport va être généré (le dernier après supression des infections) : sauvegarde le et poste le sur forum stp.
> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
> Pour Clean (encore en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean (Le rapport clean se trouve ici : C:\rapport_clean.txt)
NB : Si besoin : Tuto
> Pour SDFix (toujours en mode sans échec) :
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commence....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
> Relance ton PC en mode normal
> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis stp,
Bon courage,
:)
NB : N'oublie pas de poster TOUS les rapports stp ( MalwareByte's Anti-Malware, Clean (différent de Ccleaner - ne poste pas celui de Ccleaner), SDFix puis HiJAckT).
N'oublie pas de me dire pour les deux liens aussi.
A+
Merci poru cette réponse détaillée...
Concernant les fichiers sus-cités, ce qui concerne caesarome, cela doit être des restes du jeu Caesar 3 auquel que jouait bcp il y a un certains nombres d'années.....donc, c'était consciemment qu'ils étaient installés...
Pour tes procédures d'aides, je n'ai pas trop de temps à moi en ce moment, mais je ferais les nettoyages de printemps dans le courant de la semaine....
Je te tiendrais au courant...
En tt cas, merci d'avance pour cette aide bien utile.. et sache que je suis un forumeur tjrs reconnaissant, d'une façon ou d'une autre....!!!! ;-)
Concernant Cleaner, il est déjà installé sur mon pc...
Donc, laisse moi qqs jours pour effectuer ta procédure et je t'enverrais les rapports....
Merci d'avance...
Maximor
Concernant les fichiers sus-cités, ce qui concerne caesarome, cela doit être des restes du jeu Caesar 3 auquel que jouait bcp il y a un certains nombres d'années.....donc, c'était consciemment qu'ils étaient installés...
Pour tes procédures d'aides, je n'ai pas trop de temps à moi en ce moment, mais je ferais les nettoyages de printemps dans le courant de la semaine....
Je te tiendrais au courant...
En tt cas, merci d'avance pour cette aide bien utile.. et sache que je suis un forumeur tjrs reconnaissant, d'une façon ou d'une autre....!!!! ;-)
Concernant Cleaner, il est déjà installé sur mon pc...
Donc, laisse moi qqs jours pour effectuer ta procédure et je t'enverrais les rapports....
Merci d'avance...
Maximor
20 avril 2008 à 20:26
20 avril 2008 à 20:56
bonsoir
fais ton message et choisis bien le forum virus securite de ccm
tu vois ici c est tout frais ,zone sensible,intime,delicate.....
quand tu seras en pleine desinfection tu n aimeras pas qu on flood ton
topic
merci d avance et bien sur cordial
4 mai 2008 à 12:47
Deckard's System Scanner v20071014.68
Run by Christophe on 2008-05-04 12:31:09
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- System Restore --------------------------------------------------------------
Successfully created a Deckard's System Scanner Restore Point.
-- Last 5 Restore Point(s) --
31: 2008-05-04 10:31:48 UTC - RP159 - Deckard's System Scanner Restore Point
30: 2008-05-01 12:04:07 UTC - RP158 - Opération de restauration
29: 2008-05-01 11:57:36 UTC - RP157 - Opération de restauration
28: 2008-04-30 20:42:21 UTC - RP156 - Point de vérification système
27: 2008-04-29 18:27:01 UTC - RP155 - Point de vérification système
-- First Restore Point --
1: 2008-01-28 20:15:32 UTC - RP129 - Point de vérification système
Backed up registry hives.
Performed disk cleanup.
[color=red]System Drive C: has 0.8 GiB (less than 15%) free./color
-- HijackThis (run as Christophe.exe) ------------------------------------------
Unable to find log (file not found); running clone.
-- HijackThis Clone ------------------------------------------------------------
Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-05-04 12:33:51
Platform: Windows XP (5.01.2600)
MSIE: Internet Explorer (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-spyware 4.0\GUARD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Christophe\Bureau\dss.exe
C:\Documents and Settings\Christophe\Bureau\Christophe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:12080
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O10 - Unknown file in Winsock LSP: C:\WINDOWS\system32\nwprovau.dll
O15 - ProtocolDefaults: Unknown 'about:' protocol is in Restricted Zone (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} () - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37706.5809722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{72B5FC50-F013-43EB-ABB2-911F28842C4C}: NameServer = 213.36.80.1
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Fichiers communs\Skype\Skype4COM.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\GUARD.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: - http://membres.lycos.fr/caesarome/images/cavalier.gifO24 - Desktop Component 1: - http://membres.lycos.fr/caesarome/images/fantassin.gif