Urgence, pc infecté par "Antivirus PRO 2008&q

Xari -  
 Xari -
Bonjour,
J'ai un problème avec un rogue "antivirus pro 2008" mon disque dur C:\ a disparu, j'ai sans cesse des publicité qui m'incitent a acheter la version complete de leur soi-disant antivirus.

J'ai cherché sur google mais je n'ai pas trouvé de technique pour virer cette saleté, merci de m'aider.

Voilà mon rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49: VIRUS ALERT!, on 14/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: rtsplgob - {BDC832B3-37F6-4C6A-8B06-E1123700413F} - C:\WINDOWS\rtsplgob.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [741835fe] rundll32.exe "C:\WINDOWS\system32\oercpjef.dll",b
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O21 - SSODL: rnopbfgt - {FD0128EF-F874-439C-8282-6E56B3B8F359} - C:\WINDOWS\rnopbfgt.dll
O21 - SSODL: xkefqtgs - {67F7AEFE-CC2C-49E1-9F99-B64E0D49E628} - C:\WINDOWS\xkefqtgs.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6006 bytes
Configuration: Windows XP
Firefox 2.0.0.14

23 réponses

  • 1
  • 2
  1. fiat500 Messages postés 2681 Statut Membre 82
     
    bonjour et bienvenu

    télécharge Lop S&D.exe sur ton Bureau.https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

    * Double-clique dessus pour lancer l'installation
    * Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
    * Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
    * Patiente jusqu'à la fin du scan
    * Poste le rapport généré (C:\lopR.txt)
    ---
    0
  2. Xari
     
    Re,
    merci pour ta réponse rapide, j'ai suivi tes recommandations, voilà le rapport :

    -----------------------[ Lop S&D 4.2.1-4 XP/Vista ]---------------------

    [ Windows XP (NT 5.1) Build 2600, Service Pack 3 ]
    [ USER : Administrateur ] [ "C:\Lop SD" ] [ Selection : 1 ]
    [ 14/06/2008 | 16:08:38,53 ] [ PC : XAVIERPC ]
    [ MAJ : 13-06-2008 | 02:10 ]

    -------------[ Listing des dossiers dans Application Data ]------------

    [14/06/2008|12:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
    [09/10/2008|02:01] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
    [14/06/2008|12:45] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
    [14/06/2008|12:40] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
    [14/06/2008|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla

    [12/06/2008|09:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
    [09/10/2008|09:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BitDefender
    [09/10/2008|02:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
    [02/05/2008|16:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
    [06/06/2008|21:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
    [09/04/2008|16:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
    [28/04/2008|18:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
    [03/06/2008|09:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Corporation
    [09/10/2008|10:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
    [10/04/2008|09:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

    [09/10/2008|02:01] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
    [09/10/2008|09:25] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

    [04/05/2008|07:28] C:\DOCUME~1\Jacques\APPLIC~1\Adobe
    [10/04/2008|07:33] C:\DOCUME~1\Jacques\APPLIC~1\BitDefender
    [09/10/2008|02:01] C:\DOCUME~1\Jacques\APPLIC~1\desktop.ini
    [10/04/2008|07:32] C:\DOCUME~1\Jacques\APPLIC~1\Identities
    [10/04/2008|08:48] C:\DOCUME~1\Jacques\APPLIC~1\Macromedia
    [06/06/2008|11:27] C:\DOCUME~1\Jacques\APPLIC~1\Microsoft
    [10/04/2008|07:33] C:\DOCUME~1\Jacques\APPLIC~1\Mozilla
    [28/04/2008|16:39] C:\DOCUME~1\Jacques\APPLIC~1\Sun
    [14/05/2008|07:20] C:\DOCUME~1\Jacques\APPLIC~1\vlc
    [28/04/2008|17:35] C:\DOCUME~1\Jacques\APPLIC~1\WinRAR

    [09/10/2008|09:25] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

    [09/10/2008|09:25] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

    [08/05/2008|12:18] C:\DOCUME~1\Vincent\APPLIC~1\Adobe
    [15/04/2008|09:23] C:\DOCUME~1\Vincent\APPLIC~1\BitDefender
    [09/10/2008|02:01] C:\DOCUME~1\Vincent\APPLIC~1\desktop.ini
    [15/04/2008|09:23] C:\DOCUME~1\Vincent\APPLIC~1\Identities
    [10/06/2008|13:16] C:\DOCUME~1\Vincent\APPLIC~1\LimeWire
    [15/04/2008|09:24] C:\DOCUME~1\Vincent\APPLIC~1\Macromedia
    [19/05/2008|19:49] C:\DOCUME~1\Vincent\APPLIC~1\Microsoft
    [26/04/2008|19:19] C:\DOCUME~1\Vincent\APPLIC~1\Mozilla
    [03/06/2008|09:11] C:\DOCUME~1\Vincent\APPLIC~1\Sony Corporation
    [13/06/2008|16:23] C:\DOCUME~1\Vincent\APPLIC~1\uTorrent
    [19/04/2008|14:26] C:\DOCUME~1\Vincent\APPLIC~1\vlc
    [26/04/2008|19:45] C:\DOCUME~1\Vincent\APPLIC~1\WinRAR

    [12/06/2008|08:55] C:\DOCUME~1\Xavier\APPLIC~1\Adobe
    [09/10/2008|09:35] C:\DOCUME~1\Xavier\APPLIC~1\BitDefender
    [09/10/2008|02:01] C:\DOCUME~1\Xavier\APPLIC~1\desktop.ini
    [20/04/2008|21:44] C:\DOCUME~1\Xavier\APPLIC~1\dvdcss
    [14/06/2008|12:17] C:\DOCUME~1\Xavier\APPLIC~1\FastStone
    [13/06/2008|13:40] C:\DOCUME~1\Xavier\APPLIC~1\FileZilla
    [09/10/2008|09:30] C:\DOCUME~1\Xavier\APPLIC~1\Identities
    [11/04/2008|14:24] C:\DOCUME~1\Xavier\APPLIC~1\InstallShield
    [09/04/2008|10:35] C:\DOCUME~1\Xavier\APPLIC~1\Macromedia
    [09/04/2008|10:30] C:\DOCUME~1\Xavier\APPLIC~1\MatchWare
    [06/06/2008|12:15] C:\DOCUME~1\Xavier\APPLIC~1\Microsoft
    [09/04/2008|10:20] C:\DOCUME~1\Xavier\APPLIC~1\Mozilla
    [11/04/2008|20:09] C:\DOCUME~1\Xavier\APPLIC~1\ntr
    [17/04/2008|12:01] C:\DOCUME~1\Xavier\APPLIC~1\Sun
    [14/04/2008|17:59] C:\DOCUME~1\Xavier\APPLIC~1\teamspeak2
    [14/06/2008|12:20] C:\DOCUME~1\Xavier\APPLIC~1\TmpRecentIcons
    [09/04/2008|19:02] C:\DOCUME~1\Xavier\APPLIC~1\vlc
    [09/04/2008|13:34] C:\DOCUME~1\Xavier\APPLIC~1\WinRAR

    ----------------[ Tâches planifiées dans C:\WINDOWS\tasks ]---------------

    [14/06/2008 15:58][--ah-----] C:\WINDOWS\tasks\SA.DAT
    [05/08/2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

    ---------------[ Listing des dossiers dans C:\Program Files ]--------------

    [30/04/2008|16:27] C:\Program Files\7-Zip
    [03/05/2008|08:12] C:\Program Files\Adobe
    [21/04/2008|09:57] C:\Program Files\AviSynth 2.5
    [05/06/2008|19:32] C:\Program Files\Bac
    [09/10/2008|09:34] C:\Program Files\BitDefender
    [06/06/2008|21:57] C:\Program Files\C-Media 3D Audio
    [09/10/2008|09:21] C:\Program Files\ComPlus Applications
    [21/04/2008|09:59] C:\Program Files\dpgtools121
    [14/06/2008|12:58] C:\Program Files\Enigma Software Group
    [21/04/2008|09:56] C:\Program Files\eRightSoft
    [07/06/2008|21:20] C:\Program Files\Everest Poker
    [14/06/2008|12:16] C:\Program Files\FastStone Capture
    [03/06/2008|09:11] C:\Program Files\Fichiers communs
    [13/06/2008|13:38] C:\Program Files\FileZilla FTP Client
    [06/06/2008|21:52] C:\Program Files\InstallShield Installation Information
    [11/04/2008|13:59] C:\Program Files\Intel
    [06/06/2008|18:56] C:\Program Files\Internet Explorer
    [16/04/2008|15:39] C:\Program Files\Java
    [11/04/2008|19:33] C:\Program Files\Lavalys
    [26/04/2008|19:44] C:\Program Files\LimeWire
    [06/06/2008|19:07] C:\Program Files\ma-config.com
    [06/06/2008|18:39] C:\Program Files\Messenger
    [06/06/2008|18:56] C:\Program Files\microsoft frontpage
    [28/04/2008|18:32] C:\Program Files\Microsoft Office
    [28/04/2008|18:33] C:\Program Files\Microsoft.NET
    [06/06/2008|18:37] C:\Program Files\Movie Maker
    [14/06/2008|16:05] C:\Program Files\Mozilla Firefox
    [09/10/2008|09:20] C:\Program Files\MSN
    [09/10/2008|09:21] C:\Program Files\MSN Gaming Zone
    [06/06/2008|18:29] C:\Program Files\NetMeeting
    [11/04/2008|19:51] C:\Program Files\NTRsupport.exe
    [09/10/2008|09:21] C:\Program Files\Online Services
    [06/06/2008|18:29] C:\Program Files\Outlook Express
    [11/04/2008|14:24] C:\Program Files\Realtek
    [06/06/2008|19:32] C:\Program Files\Realtek AC97
    [09/10/2008|09:23] C:\Program Files\Services en ligne
    [03/06/2008|09:13] C:\Program Files\Sony
    [14/06/2008|15:59] C:\Program Files\Steam
    [12/04/2008|17:59] C:\Program Files\Teamspeak2_RC2
    [09/10/2008|09:30] C:\Program Files\Uninstall Information
    [25/05/2008|14:43] C:\Program Files\UrbanTerror
    [10/06/2008|13:11] C:\Program Files\uTorrent
    [09/04/2008|19:01] C:\Program Files\VideoLAN
    [09/04/2008|19:14] C:\Program Files\Windows Live
    [09/06/2008|07:48] C:\Program Files\Windows Media Connect 2
    [09/06/2008|07:48] C:\Program Files\Windows Media Player
    [06/06/2008|18:29] C:\Program Files\Windows NT
    [09/10/2008|09:23] C:\Program Files\WindowsUpdate
    [26/04/2008|15:32] C:\Program Files\WinRAR
    [06/06/2008|18:56] C:\Program Files\xerox

    ------[ Listing des dossiers dans C:\Program Files\Fichiers communs ]------

    [03/05/2008|08:12] C:\Program Files\Fichiers communs\Adobe
    [09/04/2008|16:36] C:\Program Files\Fichiers communs\Adobe Systems Shared
    [09/10/2008|09:34] C:\Program Files\Fichiers communs\BitDefender
    [28/04/2008|18:32] C:\Program Files\Fichiers communs\DESIGNER
    [03/06/2008|09:12] C:\Program Files\Fichiers communs\InstallShield
    [16/04/2008|15:37] C:\Program Files\Fichiers communs\Java
    [28/04/2008|18:33] C:\Program Files\Fichiers communs\Microsoft Shared
    [09/10/2008|09:22] C:\Program Files\Fichiers communs\MSSoap
    [09/10/2008|02:01] C:\Program Files\Fichiers communs\ODBC
    [09/10/2008|09:22] C:\Program Files\Fichiers communs\Services
    [03/06/2008|09:12] C:\Program Files\Fichiers communs\Sony Shared
    [09/10/2008|02:01] C:\Program Files\Fichiers communs\SpeechEngines
    [06/06/2008|18:29] C:\Program Files\Fichiers communs\System
    [09/04/2008|19:08] C:\Program Files\Fichiers communs\WindowsLiveInstaller

    ---------------------------[ Process ]--------------------------

    ... 16

    ... OK !

    ----------------------[ Recherche avec S_Lop ]---------------------

    Aucun fichier / dossier Lop trouvé !

    -----------------[ Recherche de Fichiers / Dossiers Lop ]-----------------

    Aucun fichier / dossier Lop trouvé !

    ----------------------[ Verification du Registre ]----------------------

    ..... OK !

    --------------------[ Verification du fichier Hosts ]---------------------

    Fichier Hosts PROPRE

    ----------------[ Recherche de fichiers avec Catchme ]-----------------

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-14 16:10:40
    Windows 5.1.2600 Service Pack 3 NTFS
    scanning hidden processes ...
    scanning hidden files ...
    scan completed successfully
    hidden processes: 0
    hidden files: 0

    --------------------[ Recherche d'autres infections ]---------------------

    C:\WINDOWS\system32\LlUvFMoq.ini2
    [b]! VUNDO Possible !/b

    [F:19][D:9]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
    [F:3][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies
    [F:7][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5

    --------------------[ Fin du rapport a 16:10:55,01 ]----------------------
    0
    1. Xari
       
      Désolé de upper, mais c'est vraiment très urgent sachant que je dois rendre ce PC a son propriétaire :/.
      0
  3. fiat500 Messages postés 2681 Statut Membre 82
     
    0
    1. Xari
       
      Re,
      voilà le rapport que j'ai obtenu :



      dSmitFraudFix v2.324

      Rapport fait à 21:25:02,09, 15/06/2008
      Executé à partir de C:\T‚l‚chargements\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Téléchargements\SmitfraudFix\Policies.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

      C:\WINDOWS\privacy_danger PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri
      +--------------------------------------------------+
      [!] Suspicious: kvsdpfeaobe.dll
      BHO: QXK Olive - {DF85C576-8105-4390-9501-B5169F99E039}
      TypeLib: {E6044808-4E8D-4432-BDFB-E6DE8E5A1470}
      Interface: {B3F2AB45-BB06-4BFD-9CE7-5216F8BF7D25}
      Interface: {E81706EF-B1A3-4BF4-95E1-98E8516895C9}

      [!] Suspicious: rtsplgob.dll
      Toolbar: rtsplgob - {BDC832B3-37F6-4C6A-8B06-E1123700413F}
      TypeLib: {0A8574DE-CF7D-4BF8-8B72-6188D9BB0A69}
      Interface: {69CC7B76-48D7-4DB1-A725-0AF17CFDA3F8}
      Classe: rtsplgob.bpxd
      Classe: rtsplgob.ToolBar.1


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 212.27.54.252
      DNS Server Search Order: 212.27.53.252

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Salut,

    pour avancer fiat500;

    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, copie/colle le rapport sauvegardé sur le forum

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse

    Remets aussi un rapport Hijackthis.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xari
     
    Re,
    d'accord je vais faire ce que tu me dis, merci de m'aider.
    Je dois m'absenter ce soir je fais ça demain.

    Par contre le rapport que j'ai posté avant ton poste correspondait à la deuxième étape, dois-je refaire cette étape ?
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors tu verras avec fiat500, mais le rapport que tu as mis est un rapport option 1 et non option 2.

    Donc je crois qu'il faut refaire l'option 2.
    0
  8. Xari
     
    Re,
    voilà le rapport SmitFraudFix :

    SmitFraudFix v2.324

    Rapport fait à 10:08:50,60, 16/06/2008
    Executé à partir de C:\T‚l‚chargements\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E056E95C-2CF1-495C-AB0D-19F4C833E566}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    _________________________________________

    Le rapport Malwarebyte's :

    [b]Malwarebytes' Anti-Malware 1.17
    Version de la base de données: 859

    10:43:52 16/06/2008
    mbam-log-6-16-2008 (10-43-42).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 116729
    Temps écoulé: 23 minute(s), 53 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 32

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\qoMFvUlL.dll (Trojan.Vundo) -> No action taken.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b482084c-ad81-4752-b13b-36da3edec618} (Trojan.Vundo) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{b482084c-ad81-4752-b13b-36da3edec618} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\741835fe (Trojan.Vundo) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomfvull -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomfvull -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\oercpjef.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\fejpcreo.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\qnlgftoa.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\aotfglnq.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\qoMFvUlL.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\LlUvFMoq.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\LlUvFMoq.ini2 (Trojan.Vundo) -> No action taken.
    C:\Documents and Settings\Xavier\Local Settings\Temp\stdstring.exe (Rogue.Installer) -> No action taken.
    C:\System Volume Information\_restore{E9CB18EC-A9D3-4B97-8225-185082AD0FA9}\RP70\A0070810.exe (Rogue.Installer) -> No action taken.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\urqOGAtU.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\xkefqtgs.dll (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\rnopbfgt.dll (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\pebgkxwq.exe (Trojan.FakeAlert) -> No action taken.
    C:\Documents and Settings\Xavier\Application Data\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Xavier\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk (Rogue.Antivirus2008) -> No action taken.
    C:\Documents and Settings\Vincent\Bureau\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Bureau\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Vincent\Bureau\Privacy Protector.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Bureau\Privacy Protector.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Vincent\Bureau\Error Cleaner.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Bureau\Error Cleaner.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Xavier\Favoris\Error Cleaner.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Vincent\Favoris\Error Cleaner.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Favoris\Error Cleaner.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Xavier\Favoris\Privacy Protector.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Vincent\Favoris\Privacy Protector.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Favoris\Privacy Protector.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Xavier\Favoris\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Vincent\Favoris\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Jacques\Favoris\Spyware&Malware Protection.url (Rogue.Link) -> No action taken./b

    __________________________________________________

    Et le rapport Hitjackthis :

    [b]Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:48:32, on 16/06/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Téléchargements\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
    O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware Reboot] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [741835fe] rundll32.exe "C:\WINDOWS\system32\libmwymk.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
    0
  9. poulhet ghislaine
     
    bonjour comment faire pour l'enlever merci merci urgent
    0
    1. Xari
       
      Salut,
      poste ton propre sujet, merci.
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    dans le rapport de MBAM, je lis "no action taken".

    C'est parce que tu recopié le rapport "trop tôt"ou parce que tu n'as pas nettoyé ?

    Je crains que ce soit le 2ème cas (au vu du rapport Hijackthis).

    C'est aux étapes 9 et 10 de MBAM qu'il faut faire attention.

    Si nécessaire, recommence.
    0
    1. Xari
       
      Re, j'ai refait un examen et j'ai tout supprimé ce qu'il m'avait trouvé, donc :

      le raport Malwarebyte's :


      Malwarebytes' Anti-Malware 1.17
      Version de la base de données: 859

      16:11:38 16/06/2008
      mbam-log-6-16-2008 (16-11-38).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|)
      Eléments examinés: 136327
      Temps écoulé: 28 minute(s), 7 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 5
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 6

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\system32\qoMFvUlL.dll (Trojan.Vundo) -> Unloaded module successfully.

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d673a579-dd7f-413c-b946-09977fa174ad} (Trojan.Vundo) -> Delete on reboot.
      HKEY_CLASSES_ROOT\CLSID\{d673a579-dd7f-413c-b946-09977fa174ad} (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\741835fe (Trojan.Vundo) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\libmwymk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\kmywmbil.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\qoMFvUlL.dll (Trojan.Vundo) -> Delete on reboot.
      C:\WINDOWS\system32\LlUvFMoq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\LlUvFMoq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


      _____________________

      et le rapport Hitjackthis



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:29:14, on 16/06/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      Boot mode: Safe mode with network support

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Téléchargements\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
      O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
      O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [Malwarebytes Anti-Malware Reboot] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
      O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
      O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
      O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
      O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
      0
  11. fiat500 Messages postés 2681 Statut Membre 82
     
    d'apres le rapport tu na pkus rien

    fais un scan en ligne avec Internet Explorer stp:

    BitDefender en ligne: http://www.bitdefender.fr/scan_fr/scan8/ie.html
    Tutoriel BitDefender en ligne: http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm
    0
    1. Xari
       
      Re,
      quelle réponse rapide, merci :).
      Ok je fais ça =).
      0
  12. fiat500 Messages postés 2681 Statut Membre 82
     
    derien

    ok
    0
    1. Xari
       
      Re, je suis en train de faire l'analyse (qui va durer toute la nui :/).
      Mais tu as dit que selon le rapport je n'avais plus rien, pourtant je n'ai aucune amélioration en mode normal, j'ai toujours mon disque dur "invisible" et le menu démarrer vide.
      Est-ce normal ?
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    d'apres le rapport tu na pkus rien

    Moi, je pense l'inverse.

    Xari, renomme Hijackthis.exe en scanvundo. exe et refais tourner "Hijackthis" (option do a scan and save a logfile).

    Poste le rapport.
    0
  14. fiat500 Messages postés 2681 Statut Membre 82
     
    attend que le scan finis apres on verra
    0
  15. fiat500 Messages postés 2681 Statut Membre 82
     
    si tu as fais le scan hijackthis en mode sans echec alors...
    0
    1. Xari
       
      Oups, quel idiot, j'ai fait le rapport Hijackthis en mode sans échec :/.
      J'aimerais le refaire malheureusement il est dans C:\ je ne peut pas y accéder en mode "normal" et quand je le re-télécharges je ne peut pas le déziper : "L'archive est d'un format inconnu ou est endommagée"
      0
  16. fiat500 Messages postés 2681 Statut Membre 82
     
    la je bloque dsl mais ecoute lyonnaise maintenant dsl a+
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je crois que le problème est de ne pas avoir fais redémarrer l'ordi après le passage de MBAM. Un fichier est encore sur l'ordi.

    Donc, on arrête Bit Defender.

    Tu relances MBAM, tu fais redémarrer l'ordi.

    Tu reviens en mode sans échec, tu renommes Hijackthis.exe, tu le fais passer et tu postes le rapport.

    Ca ne va pas faire réapparaître C:\ ni Démarrer.

    On s'en occupera quand on sera sûr de la désinfection.
    0
    1. Xari
       
      Re,
      cela fait 3 fois que j'essaye de refaire une analyse MBAM, mais à chaque fois celle ci ce bloque "le programme ne répond pas". Je suis en mode normal.
      Que dois-je faire :/ ?
      0
  18. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Salut !!

    Vas dans la quarantaine de malwarebytes et supprimes tout...puis réessayes une analyses.
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    si ça ne suffit pas, retourne faire l'analyse en mode sans échec.
    0
  20. Xari
     
    Bah, il n'y a rien dans la quarantaine vu qu'aucune analyse n'a aboutie, sauf en mode sans échec et apparemment ça va pas.
    Je vais réessayer de faire une analyse demain, je vais laisser reposer le PC.

    Merci de votre aide.
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    faire reposer l'ordi ne servira à tien (toi si).

    faire passer MBAM en mode sans échec n'est pas un problème.

    le problème est d'aller au bout de la procédure, comme indiqué et de faire redémarrer l'ordi.

    Ensuite, il suffit de rebommer Hijackthis et de faire un scan.

    Tout ceci peut être fait en mode sans échec si le mode normal ne le permet pas;
    0
    1. Xari
       
      Re,
      je me suis bien reposé, c'est bon.

      J'ai juste une question si je fais l'analyse en mode sans échec dois-je le remettre en mode sans échec quand il redémarre ?
      0
  • 1
  • 2