Sujet Précédent Sujet Suivant

HELP! PSW.x-Vir Trojan

Résolu/Fermé
Cariboux - 4 juin 2008 à 02:47
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 7 juin 2008 à 07:58
Bonjour,
J'ai sans cesse une alerte m'avisant que mon ordinateur est infecté par PSW.x-Vir trojan. J'ai un message d'alerte sécurité au bas de mon PC (avec point d'exclamation jaune) et icone windows security qui clignote bleu puis rouge avec un X. Ah oui et je suis très débutante donc merci de me donner des explications claires et précises :S Mille mercis!!!!
Voici le résultat de hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:15, on 2008-06-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject\scit.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Client\Bureau\HiJackThis.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\NetProject\sbsm.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Program Files\NetProject\sbmdl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: 905757 helper - {E28F671C-3D83-4149-BA2F-546A67702B49} - C:\WINDOWS\system32\905757\905757.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Program Files\NetProject\wamdl.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\bak\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [VirusHeat 4.4] "C:\Program Files\VirusHeat 4.4\VirusHeat 4.4.exe" /h
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.dwnldietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.dwnldietool.com/redirect.php (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sansbobcissou.spaces.live.com/PhotoUpload/MsnPUpld.cab
O22 - SharedTaskScheduler: delayingly - {e89fa8e9-5c0b-45f6-a70e-f7b177bcd193} - C:\WINDOWS\system32\rtmipr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
A voir également:

16 réponses

Réponse 1 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
4 juin 2008 à 09:21
Bonjour Cariboux

Adware SmitFraud + rogues on va s'en occuper ;)

Besoin d'un autre rapport avant d'attaquer le nettoyage :

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

* Installe le à la racine de C

Tu crées un nouveau dossier, via clic droit "Créer / Nouveau dossier que tu nommes SmitfraudFix --> C:\SmitfraudFix

Regarde un exemple à E ) « Faire un répertoire dédié » https://forum.pcastuces.com/sujet.asp?f=25&s=3902

Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

--> Poste le rapport ici en réponse.


process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@ suivre
0
Réponse 2 / 16
Cariboux
4 juin 2008 à 13:43
Salut Le Sioux!
Merci pour ta réponse. Entre temps on m'avait effectivement conseillé d'utilisé Smitfraudfix, ce que j'ai fait et voici le rapport que ça m'a donné:

SmitFraudFix v2.323

Rapport fait à 21:47:50,73, 2008-06-03
Executé à partir de C:\Documents and Settings\Client\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}"="delayingly"

[HKEY_CLASSES_ROOT\CLSID\{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}\InProcServer32]
@="C:\WINDOWS\system32\rtmipr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}\InProcServer32]
@="C:\WINDOWS\system32\rtmipr.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\rtmipr.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\rtmipr.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\Client\Favoris\Online Security Test.url supprimé
C:\Program Files\NetProject\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\system32\905757\905757.dll deleted.
C:\WINDOWS\system32\905757\ deleted.


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{082F1284-BAA3-42A8-96FD-08E2B845AD97}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{082F1284-BAA3-42A8-96FD-08E2B845AD97}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{082F1284-BAA3-42A8-96FD-08E2B845AD97}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 3 / 16
Cariboux
4 juin 2008 à 13:46
Et on m'avait ensuite conseillé d'utiliser Malwarbyte's Anti-Malware, ce que j'ai aussi fait et qui m'a donné le rapport ci-dessous. J'ai ensuite lancé RegCleaner puis Ccleaner.... est-ce que c'était ok?!? :(

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 818

07:09:00 2008-06-04
mbam-log-6-4-2008 (07-09-00).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 124711
Temps écoulé: 2 hour(s), 7 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolbar.tb (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolbar.tb.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d83a7b12-a4d4-4984-8f72-d41c6b4c1e6e} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\w\ (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchMigratedDefaultURL (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl\w\ (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchURL (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WinBudget (Adware.AdMedia) -> Quarantined and deleted successfully.
C:\Program Files\WinBudget\bin (Adware.AdMedia) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1085031214-1614895754-839522115-1003\Dc6\wav.cpl (Rogue.WindowsAntivirus2008) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1085031214-1614895754-839522115-1003\Dc6\wav.exe (Rogue.WindowsAntivirus2008) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017598.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017613.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wav.cpl (Rogue.WindowsAntivirus2008) -> Quarantined and deleted successfully.
0
Réponse 4 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
4 juin 2008 à 22:24
Bonsoir caruiboux

--Pour Malwarebytes' Anti-Malware
C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

Vide sa quarantaine :
Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur "Tout supprimer"

Puis

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection

1) Redémarre en mode sans échec

Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

2) SmitfraudFix de S!Ri, balltrap34 et moe31

* Double clique sur Smitfraudfix.cmd
* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Note L'option 2 de l'outil supprime le fond d'écran !

3) Rapports

Fais redémarrer ton PC et poste le rapport de SmitFraudFix et un nouveau rapport HijackThis stp.

@ suivre
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Cariboux
4 juin 2008 à 23:47
Merci Le Sioux!

Le problème semble résolu, voici le rapport SmitFraudFix suivi du rapport Hijackthis. Dis moi si tout est ok

SmitFraudFix v2.323

Rapport fait à 21:47:50,73, 2008-06-03
Executé à partir de C:\Documents and Settings\Client\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}"="delayingly"

[HKEY_CLASSES_ROOT\CLSID\{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}\InProcServer32]
@="C:\WINDOWS\system32\rtmipr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{e89fa8e9-5c0b-45f6-a70e-f7b177bcd193}\InProcServer32]
@="C:\WINDOWS\system32\rtmipr.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:49, on 2008-06-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Client\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\bak\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sansbobcissou.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
0
Réponse 6 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
5 juin 2008 à 00:52
Bonsoir cariboux

Très bien, deux trois petit effort avant de conclure.

On profite pour enlever quelques lignes pour optimiser ton démarrage en évitant que les programmes qui s'y lancent inutilement, accaparent des ressources du système.
Cela désactive du démarrage des programmes qui ne sont pas primordials
Un programme utilise des ressources quand il est en cours d'exécution.
Trop de programmes qui tournent utilisent beaucoup de ressources qui peuvent conduire au ralentissement de l'ordinateur.

Regarde ici "comment fixer/corriger des lignes via HijackThis http://pageperso.aol.fr/balltrap34/demohijack.htm

1) Lance HijackThis.

Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\bak\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

2) Rapport

Fais redémarrer ton PC et poste un nouveau rapport HijackThis

@ suivre
0
Réponse 7 / 16
Cariboux
5 juin 2008 à 13:20
Fait! Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:18:27, on 2008-06-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Client\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sansbobcissou.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
0
Réponse 8 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
5 juin 2008 à 20:01
Hello Cariboux

Bien joué !

On tient le bon bout ;)

1) ToolsCleaner de A.Rothstein

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a ToolsCleaner de A.Rothstein

Télécharge le http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.

--> Poste moi Le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

2) Scan en ligne chez Bitdefender

* Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Aide toi de ce Tuto (merci Morgane) http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

@ suivre car il restera des conseils de sécurité à appliquer.
0
Réponse 9 / 16
Cariboux
6 juin 2008 à 04:05
Fait aussi!! Voici les 2 rapports:

-->- Recherche:

C:\Documents and Settings\Client\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Client\Bureau\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Client\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Client\Bureau\SmitFraudfix: supprimé !



[General]
App = "BitDefender Online Scanner v8"
Date = 05:06:2008
Time = 21:57:23
Scan Path = C:\;D:\;E:\;F:\;

[Engines Info]
Virus Definitions = 0
Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins = 0
Archive plugins = 8
Unpack plugins = 2
E-mail plugins = 0
System plugins = 1

[Scan Statistics]
Folders = 7472
Files = 31597
Archives = 170
Packed files = 72
Identified viruses = 0
Infected files = 0
Warnings = 0
Suspect files = 0
Disinfected files = 0
Deleted files = 0
Copied files = 0
Moved files = 0
Renamed files = 0
I/O Errors = 7

[Scan Settings]
SecondAction = Delete
FirstAction = Disinfect
Heuristics = 1
Enable Warnings = 1
Exclude Ext =
Extensions = exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Scan Emails = 1
Scan Archives = 1
Scan Packed = 1
Scan Files = 1
Scan Boot = 1
Verify Memory = 0

[Scan Results]
Line00000000 = "No problems found."
0
Réponse 10 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
6 juin 2008 à 04:18
Bonsoir Cariboux

Tu as laissé SmitFraudFix sur ton Bureau 'je t'avais pourtant dit Installe le à la racine de C ... ) du coup, Toolcleaner ne l'a pas supprimer, fait le puis vide ta poubelle.

Le rapport Bitdefender n'est pas celui que j'attendais ...

@ suivre.
0
Réponse 11 / 16
Cariboux
6 juin 2008 à 18:37
Oups! Désolée, je n'avais pas lu en détails tes instructions sur l'installation de SmitFraudFix étant donné qu'il était déjà installé sur mon PC... mais visiblement au mauvais endroit! Ça devrait mieux aller comme suit:

-->- Recherche:

C:\Program Files\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\Program Files\SmitFraudfix: supprimé !



[General]
App = "BitDefender Online Scanner v8"
Date = 06:06:2008
Time = 08:27:12
Scan Path = C:\;D:\;E:\;F:\;

[Engines Info]
Virus Definitions = 1256618
Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins = 16
Archive plugins = 42
Unpack plugins = 7
E-mail plugins = 6
System plugins = 5

[Scan Statistics]
Folders = 7478
Files = 95020
Archives = 1503
Packed files = 5965
Identified viruses = 6
Infected files = 17
Warnings = 0
Suspect files = 5
Disinfected files = 0
Deleted files = 22
Copied files = 0
Moved files = 0
Renamed files = 0
I/O Errors = 8

[Scan Settings]
SecondAction = Delete
FirstAction = Disinfect
Heuristics = 1
Enable Warnings = 1
Exclude Ext =
Extensions = exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Scan Emails = 1
Scan Archives = 1
Scan Packed = 1
Scan Files = 1
Scan Boot = 1
Verify Memory = 0

[Scan Results]
Line00000063 = "C:\Program Files\QuickTime\qttask.exe Infecté par: Trojan.AVKiller.BI"
Line00000062 = "C:\Program Files\QuickTime\qttask.exe Supprimé"
Line00000061 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017241.exe Suspecté de: Trojan.Zlob.CJV"
Line00000060 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017241.exe Echec de la désinfection"
Line00000059 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017241.exe Supprimé"
Line00000058 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017242.dll Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000057 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017242.dll Echec de la désinfection"
Line00000056 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017242.dll Supprimé"
Line00000055 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017243.exe Infecté par: Trojan.Zlob.CKS"
Line00000054 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017243.exe Echec de la désinfection"
Line00000053 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3107\A0017243.exe Supprimé"
Line00000052 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017437.dll Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000051 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017437.dll Echec de la désinfection"
Line00000050 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017437.dll Supprimé"
Line00000049 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017438.exe Suspecté de: Trojan.Zlob.CJV"
Line00000048 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017438.exe Echec de la désinfection"
Line00000047 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017438.exe Supprimé"
Line00000046 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017439.exe Infecté par: Trojan.Zlob.CKS"
Line00000045 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017439.exe Echec de la désinfection"
Line00000044 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017439.exe Supprimé"
Line00000043 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017544.dll Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000042 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017544.dll Echec de la désinfection"
Line00000041 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017544.dll Supprimé"
Line00000040 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017545.exe Suspecté de: Trojan.Zlob.CJV"
Line00000039 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017545.exe Echec de la désinfection"
Line00000038 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017545.exe Supprimé"
Line00000037 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017546.exe Infecté par: Trojan.Zlob.CKS"
Line00000036 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017546.exe Echec de la désinfection"
Line00000035 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3109\A0017546.exe Supprimé"
Line00000034 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017590.dll Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000033 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017590.dll Echec de la désinfection"
Line00000032 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017590.dll Supprimé"
Line00000031 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017591.exe Suspecté de: Trojan.Zlob.CJV"
Line00000030 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017591.exe Echec de la désinfection"
Line00000029 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017591.exe Supprimé"
Line00000028 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017592.exe Infecté par: Trojan.Zlob.CKS"
Line00000027 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017592.exe Echec de la désinfection"
Line00000026 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017592.exe Supprimé"
Line00000025 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017604.dll Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000024 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017604.dll Echec de la désinfection"
Line00000023 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017604.dll Supprimé"
Line00000022 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017605.exe Infecté par: Trojan.Downloader.Zlob.ABUV"
Line00000021 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017605.exe Echec de la désinfection"
Line00000020 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017605.exe Supprimé"
Line00000019 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017606.exe Infecté par: Trojan.Zlob.CKS"
Line00000018 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017606.exe Echec de la désinfection"
Line00000017 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017606.exe Supprimé"
Line00000016 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017607.exe Infecté par: Trojan.Downloader.Zlob.ABRP"
Line00000015 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017607.exe Echec de la désinfection"
Line00000014 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017607.exe Supprimé"
Line00000013 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017608.exe Suspecté de: Trojan.Zlob.CJV"
Line00000012 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017608.exe Echec de la désinfection"
Line00000011 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017608.exe Supprimé"
Line00000010 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017609.exe Infecté par: Trojan.Downloader.Zlob.ABMQ"
Line00000009 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017609.exe Echec de la désinfection"
Line00000008 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017609.exe Supprimé"
Line00000007 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017612.exe Infecté par: Trojan.Downloader.Zlob.ABMQ"
Line00000006 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017612.exe Echec de la désinfection"
Line00000005 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017612.exe Supprimé"
Line00000004 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017615.exe Infecté par: Trojan.FakeAV.I"
Line00000003 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017615.exe Echec de la désinfection"
Line00000002 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3111\A0017615.exe Supprimé"
Line00000001 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3113\A0017721.exe Infecté par: Trojan.AVKiller.BI"
Line00000000 = "C:\System Volume Information\_restore{777A50DA-A99E-4E44-8F81-8B46231D0D2D}\RP3113\A0017721.exe Supprimé"
0
Réponse 12 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
7 juin 2008 à 00:30
Bonsoir Caribou

Bien joué, si ton PC fonctionne bien , on va pouvoir conclure ;)

@ suivre car il reste des conseils de sécurité à appliquer.
0
Réponse 13 / 16
Cariboux
7 juin 2008 à 00:52
Ouaip! Tout semble fonctionner à merveille... grace à tes précieux conseils :)))) J'attends donc les conseils de sécurité pour conclure!
0
Réponse 14 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
7 juin 2008 à 01:27
Re Caribou

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créera un point de restauration sain

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit à nouveau sur "surveillance" puis Ok.

=========================================================================

Je vais te donner plusieurs conseils par ordre de priorité, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte a y revenir par a coups et suivre ainsi petit à petit les différentes instructions.

=========================================================================

=> Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

=========================================================================
=> Il te faut impérativement tenir à jour régulièrement Windows ainsi qu’ Internet Explorer :

Via Internet Explorer, rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.
Ou tu peux aussi installer le SP3 qui reprends toutes les mises à jours de sécurité depuis la sortie du SP2 .

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Paramètres / Panneau de config et dans Centre de sécurité, clique sur Mises a jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure ou tu es connecté habituellement
puis clique sur Appliquer puis OK.

=======================================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=========================================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

=========================================================================

=> Installe un pare-feu pour remplacer celui de Windows qui est insuffisant :

Regarde celui-ci en gratuit :

* ComodoFirewallPro Free

http://www.personalfirewall.comodo.com/download_firewall.html

Tuto :
http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm et https://infomars.fr/forum/index.php?showtopic=1225
https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

Tu peux constater son efficacité en regardant son résultat aux tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

=========================================================================

=> Pour sécuriser ta navigation

-- Un programme incontournable : SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )
https://www.safer-networking.org/

-démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

-- Tutorial pour sécuriser Firefox : https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

=> Pour améliorer la sécurité de ton PC prends quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae https://forum.pcastuces.com/default.asp

=======================================================================
=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/

Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=========================================================================

=> Pour optimiser un peu ton PC

* Pense à lancer une défragmentation.
Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml

* Gère tes services grâce à ces 2 liens
http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4

* Utilise Zeb Utility de Sebdraluorg
une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon)
Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html
Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html

* Utilise Ccleaner fonction nettoyeur de manière journalière.

=========================================================================

Voila bon courage et bonnes lectures.

Content d'avoir pu t'aider.

Salut.
0
Réponse 15 / 16
Cariboux
7 juin 2008 à 03:49
Eh ben dis donc, ça va que j'ai des vacances bientôt, je crois que je vais bien m'amuser avec toutes ces infos! Merci beaucoup pour ton aide, c'est très apprécié et sans toi je n'aurai pas su m'y retrouver! Et surtout merci pour ta grande patience :)
ciao ciao
Cariboux
0
Réponse 16 / 16
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
7 juin 2008 à 07:58
Re cariboux

Ce fut avec plaisir ;-)

Partage avec ceux qui t'entourent ce que tu as pu apprendre au cours de cette expérience, aide-les à sécuriser leurs PCs, à mettre leurs logiciels à jours et à mettre en place des mesures préventives et une attitude de surf "saine" pour éviter les problèmes.
C'est tellement mieux un PC qui fonctionne bien !

Salut et bonne continuation.

Prudence sur Internet ;)
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
logitel
dada -
transat -

1 réponse
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses