Infecté du trojan IEAV.EXE
Résolu/Fermé
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
-
22 juin 2008 à 17:00
Clark Kent - 1 juil. 2008 à 19:33
Clark Kent - 1 juil. 2008 à 19:33
A voir également:
- Infecté du trojan IEAV.EXE
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Trojan wacatac ✓ - Forum Virus
- Trojan b901 ✓ - Forum Virus
- Csrss.exe trojan ✓ - Forum Virus
10 réponses
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
22 juin 2008 à 17:10
22 juin 2008 à 17:10
salut,
-- Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.zip de S!Ri, balltrap34 et moe31 - mirroir http://72.232.135.12/siri/SmitfraudFix.php
(Si tu as Norton Antivirus ou NOD32, désactive le)
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
-- Choisis l'option 1 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier
-- Copie/colle le contenu du rapport ici
-- Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.zip de S!Ri, balltrap34 et moe31 - mirroir http://72.232.135.12/siri/SmitfraudFix.php
(Si tu as Norton Antivirus ou NOD32, désactive le)
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
-- Choisis l'option 1 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier
-- Copie/colle le contenu du rapport ici
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
23 juin 2008 à 03:19
23 juin 2008 à 03:19
Voici le rapport...du moins je pense que c,est la bonne chose que vous m'avez demandé
SmitFraudFix v2.328
Rapport fait à 21:09:35,97, 2008-06-22
Executé à partir de
C:\Users\Mario \Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MARIO
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\r3hook.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{30C3A40B-F3BE-4C42-895C-AE7164A1D4E9}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30C3A40B-F3BE-4C42-895C-AE7164A1D4E9}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.328
Rapport fait à 21:09:35,97, 2008-06-22
Executé à partir de
C:\Users\Mario \Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MARIO
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\r3hook.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{30C3A40B-F3BE-4C42-895C-AE7164A1D4E9}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30C3A40B-F3BE-4C42-895C-AE7164A1D4E9}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
23 juin 2008 à 14:08
23 juin 2008 à 14:08
ok relance le et choisis l'option 2 (nettoyage)
ensuite(car tu as plusieurs infections...)
- Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download HiJackThis de Merijn sur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter https://www.malekal.com/tutoriel-hijackthis/ l'aide HiJackThis de Malekal_morte
ensuite(car tu as plusieurs infections...)
- Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download HiJackThis de Merijn sur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter https://www.malekal.com/tutoriel-hijackthis/ l'aide HiJackThis de Malekal_morte
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
24 juin 2008 à 05:47
24 juin 2008 à 05:47
je ne peut lancer le nettoyage.....le programme dit qu'il manque maintenant un fichier reboot.exe
merci pour ton aide je l'apprécit énormément
merci pour ton aide je l'apprécit énormément
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
24 juin 2008 à 10:44
24 juin 2008 à 10:44
hello,
desinstalle le puis réinstalle et lance directement l'option deux
si ca ne fonctionne pas,
télécharge GenProc,
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat
Une fois qu'il a finit son analyse post le log qui vient de s'ouvrir dans Bloc note et reviens poster le log ici.
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
desinstalle le puis réinstalle et lance directement l'option deux
si ca ne fonctionne pas,
télécharge GenProc,
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat
Une fois qu'il a finit son analyse post le log qui vient de s'ouvrir dans Bloc note et reviens poster le log ici.
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
24 juin 2008 à 17:39
24 juin 2008 à 17:39
Et bien ca na pas fonctionner, lors du choix de l'option nettoyage....il mentionne plein de chemin introuvables et l'écran vient noir et plus rien ne se passe...je vais essayé maintenant ton autre option Genproc.
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
24 juin 2008 à 18:02
24 juin 2008 à 18:02
Genproc ne foncionne pas non plus....manque un fichier. une question si je reformate est-ce que tout serait réglé ou il peut rester une trace caché sur le disque dur de ce trojan ou virus.
Merci pour ton aide jusqu'à maintenant
Merci pour ton aide jusqu'à maintenant
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
24 juin 2008 à 18:18
24 juin 2008 à 18:18
Je bient de tester internet explorer il ne semble plus y a voir de probleme....le virus avait peut-être été enrayer par activscan...car eux m'avait trouvé des problemes et les avait supprimer. Je vais naviguer a nouveau avec internet explorer pour faire plus de test mais pour l'instant tout semble correct. Bizarre tout ca.
Merci pour ton aide encore une fois....pour l'instant je vais attendre avant dans conclure que mon problème est résolu
Merci pour ton aide encore une fois....pour l'instant je vais attendre avant dans conclure que mon problème est résolu
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
24 juin 2008 à 18:50
24 juin 2008 à 18:50
ok,
tient moi au courant
merci
@+
tient moi au courant
merci
@+
mario210
Messages postés
7
Date d'inscription
dimanche 22 juin 2008
Statut
Membre
Dernière intervention
26 juin 2008
26 juin 2008 à 00:52
26 juin 2008 à 00:52
Et bien il semble vraiment ne plus y avoir de problème tout va bien et même très bien.....merci beaucoup pour votre aide précieuse. Je ne peut malheureusement préciser avec quel logiciel le problème a été résolu....j'en ai tellement essayé. Merci
@+
@+
Bonsoir tout le monde.
Il est peut-être trop tard, mais peut-être que mon message servira aux futures personnes infectées...
Je viens d'être infecté par IEAV moi aussi, et à force de fouiner partout dans le pc j'ai trouvé comment m'en débarrasser. Peut-être qu'il y en a des variantes, mais il suffit apparement de supprimer les fichiers suivants :
#lettre de votre disque dur#:\WINDOWS\system32\clkcnt.txt
#lettre de votre disque dur#:\WINDOWS\system32\oggview.dll
#lettre de votre disque dur#:\WINDOWS\system32\xmlsys.dll
Entrées du registre à supprimer :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\bind "comment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B1892F58-1116-4DEC-92AA-577872EC3D3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4937D5D1-2039-409A-BD83-FEC9B39B2356}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CAF9D798-C659-4B9B-8E19-EE27C3D04EE7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B1892F58-1116-4DEC-92AA-577872EC3D3D}
Cela a fonctionné sur Windows XP Pro SP2 avec IE8
voilà, j'espère que cela servira,
bonne chance ;)
Il est peut-être trop tard, mais peut-être que mon message servira aux futures personnes infectées...
Je viens d'être infecté par IEAV moi aussi, et à force de fouiner partout dans le pc j'ai trouvé comment m'en débarrasser. Peut-être qu'il y en a des variantes, mais il suffit apparement de supprimer les fichiers suivants :
#lettre de votre disque dur#:\WINDOWS\system32\clkcnt.txt
#lettre de votre disque dur#:\WINDOWS\system32\oggview.dll
#lettre de votre disque dur#:\WINDOWS\system32\xmlsys.dll
Entrées du registre à supprimer :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\bind "comment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B1892F58-1116-4DEC-92AA-577872EC3D3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4937D5D1-2039-409A-BD83-FEC9B39B2356}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CAF9D798-C659-4B9B-8E19-EE27C3D04EE7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B1892F58-1116-4DEC-92AA-577872EC3D3D}
Cela a fonctionné sur Windows XP Pro SP2 avec IE8
voilà, j'espère que cela servira,
bonne chance ;)