Comment désinstaller antivirus XP 2008

Résolu
glab -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
J'ai lu ce que vous avez ecrit dans les différents forums afin de me débarrasser de l' antivirus mais je n'y arrive pas mon antivirus avast ne trouve rien ROgue remover non plus ci dessous le rapport de Malwarebytes Anti malware.

AIDEZ MOI SVP ( commence à faire une surchauffe !!!)

rapport :
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 985
Windows 5.1.2600 Service Pack 2

14:31:31 24/07/2008
mbam-log-7-24-2008 (14-31-01).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 80795
Temps écoulé: 43 minute(s), 19 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 23
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
C:\Program Files\rhcpw9j0e9fr\rhcpw9j0e9fr.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\pphctw9j0e9fr.exe (Trojan.FakeAlert) -> No action taken.

Module(s) mémoire infecté(s):
C:\Program Files\rhcpw9j0e9fr\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\msvcr71.dll (Rogue.Multiple) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphctw9j0e9fr (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\rhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Administrateur\Application Data\rhcpw9j0e9fr\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\labonne\Application Data\rhcpw9j0e9fr\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\rhcpw9j0e9fr\database.dat (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\license.txt (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\rhcpw9j0e9fr.exe (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\rhcpw9j0e9fr.exe.local (Rogue.Multiple) -> No action taken.
C:\Program Files\rhcpw9j0e9fr\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\phctw9j0e9fr.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphctw9j0e9fr.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\labonne\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\labonne\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.

MERCI D'AVANCE
Configuration: Windows XP
Firefox 2.0.0.11

38 réponses

  • 1
  • 2
Résumé de la discussion

La discussion porte sur une infection sous Windows XP détectée par Malwarebytes, avec des composants Rogue.Multiple et Trojan.FakeAlert, et des fichiers et clés de registre compromis. Plusieurs éléments de réponse préconisent d'exécuter Malwarebytes d'abord, puis d'utiliser HijackThis et SmitFraudFix, avant RogueRemover pour nettoyer les objets détectés et redémarrer en mode sans échec. L'échange souligne aussi l'importance de vérifier les résultats et de générer des rapports, afin d'évaluer l'ampleur de l'infection et de s'assurer que les éléments malveillants ne persistent pas. En cas de persistance, des recommandations combinent le redémarrage en mode sans échec et des nettoyages ciblés, tout en revenant sur les résultats pour ajuster les actions et confirmer l'élimination.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Salut !!

    tout d abord, vas supprimer tout ce qui est dans la quarantaine de malwarebytes

    ensuite :

    Télécharge hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    voici un tuto pour bien l installer : https://forums.cnetfrance.fr

    -une fois installé, le renommer HJT.exe pour contrer une éventuelle infection vundo
    -Double-clic dessus
    - Clic sur "Do a system scan and save the log"
    - copier le rapport, le coller dans la réponse
    0
  2. glab
     
    il n'y a rien dans la quarantaine ( comprends pas trop pkoi dailleurs) pour le rapport hijack je le transfere ce soir ( part o taf )
    0
  3. glab
     
    voici mon rapport hijack
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:34:17, on 24/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Spyware Doctor\pctsAuxs.exe
    C:\Program Files\Spyware Doctor\pctsSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Spyware Doctor\pctsTray.exe
    C:\Documents and Settings\labonne\Bureau\HiJackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [lphctw9j0e9fr] C:\WINDOWS\system32\lphctw9j0e9fr.exe
    O4 - HKLM\..\Run: [SMrhcpw9j0e9fr] C:\Program Files\rhcpw9j0e9fr\rhcpw9j0e9fr.exe
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.av.fr.aol.com/molbin/shared/mcinsctl/fr/4,0,0,84/mcinsctl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.av.fr.aol.com/molbin/shared/mcgdmgr/fr/1,0,0,21/mcgdmgr.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
    0
  4. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    alors refais une analyse complete avec malwarebytes..

    une fois l analyse terminée, vérifie que tout soit bien coché et cliques sur "supprimer la sélection"

    ensuite poste le rapport et redémarre ton pc stp

    ensuite :

    relance hijackthis en cliquant sur scan only et coches ces lignes stp :

    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [lphctw9j0e9fr] C:\WINDOWS\system32\lphctw9j0e9fr.exe
    O4 - HKLM\..\Run: [SMrhcpw9j0e9fr] C:\Program Files\rhcpw9j0e9fr\rhcpw9j0e9fr.exe

    puis tu cliques sur fix checked.

    vas faire les mises à niveau de java et adobe reader à ces adresses :

    java : https://www.java.com/fr/download/manual.jsp

    adobe reader XP : https://get2.adobe.com/reader/otherversions/

    et ensuite désinstalle les versions antérieures.

    et dis moi si tu as encore des problemes avec antivirus XP 2008 ??
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. glab
     
    je dois etre bete mais je vois pas supprimer la selection ???
    0
  7. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    clique d abord sur afficher résulktats
    0
  8. glab
     
    c'est en train de tourner mais ça fait 3 fois que je le fais et je trouver pas cette phrase je te dis quand c fini ( et merci encore )
    0
  9. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    oui c est ca
    0
  10. glab
     
    il me dis " l'examen est terminer cliquer sur ok pour afficher les resultats et rien de plsu " ?
    0
  11. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    apres cliques sur afficher résultats
    0
  12. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    fais un copier/coller du rapport
    0
  13. glab
     
    Malwarebytes' Anti-Malware 1.23
    Version de la base de données: 986
    Windows 5.1.2600 Service Pack 2

    21:12:24 24/07/2008
    mbam-log-7-24-2008 (21-12-24).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 8133
    Temps écoulé: 1 minute(s), 1 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    0
  14. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok...y a vraiment rien dans la quarantaine de malwarebytes ??
    0
  15. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok...fais ceci stp :

    Option 1 - Recherche :

    télécharge smitfraudfix et enregistre le sur le bureau : http://telechargement.zebulon.fr/smitfraudfix.html

    Ensuite double clique sur smitfraudfix puis exécuter

    Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

    copier/coller le rapport dans la réponse.
    0
  16. glab
     
    voici le rapport :

    SmitFraudFix v2.331

    Rapport fait à 21:28:41,17, 24/07/2008
    Executé à partir de C:\Documents and Settings\labonne\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Spyware Doctor\pctsTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Spyware Doctor\pctsAuxs.exe
    C:\WINDOWS\system32\pphctw9j0e9fr.exe
    C:\Program Files\Spyware Doctor\pctsSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    127.0.0.1 legal-at-spybot.info
    127.0.0.1 www.legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\labonne

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\labonne\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\labonne\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte VIA PCI 10/100Mo Fast Ethernet - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{6499A09E-C484-4CD8-9E50-CD26C76A509B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{6499A09E-C484-4CD8-9E50-CD26C76A509B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{6499A09E-C484-4CD8-9E50-CD26C76A509B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  17. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Télécharge cet outil de SiRi:

    http://siri.urz.free.fr/RHosts.php

    Double clique dessus pour l'exécuter

    et cliques sur " Restore original Hosts "

    ps : c est normal que rien ne se passe

    ensuire redémarre le pc

    ensuite :

    Option 2 - Nettoyage :

    Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage).

    Double cliquer sur smitfraudfix

    Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

    A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

    Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

    Redémarrer en mode normal et poster le rapport.

    ensuite :

    télécharge rogueremover à cette adresse : http://www.malwarebytes.org/rogueremover/free/rr-free-setup.exe

    C est un programme en anglais, Si aucune mise à jour n'est disponible le message There are no program updates available apparaît.

    Si d'éventuelles mises à jour pour la base de données est disponible, le message There is a newer version of the databases available, please select Download apparaît.
    Cliquez sur le bouton OK.

    Cliquez sur le bouton Download de la nouvelle fenêtre.

    La mise à jour se télécharge et s'installe, une fois terminée, la popup Database update complete apparaît.
    Cliquez sur le bouton OK.
    Le menu Scan lance un scanne de l'ordinateur

    Programs Targeted ouvre la liste des programmes visés par RogueRemover
    Exclude List permet d'exclure des programmes à supprimer par RogueRemover
    Check for updates à droite permet de mettre à jour le logiciel.

    Le scan donne sous forme de liste les éléments néfastes détectés.

    Ces derniers sont automatiquement coché.

    Il suffit de cliquer sur le bouton Remove Selected pour procéder à la suppression.

    Une popup vous demande si vous désirez envoyer le résultat d'analyse à RogueNET. Aucune information personnelle n'est envoyée.
    Cliquez sur Yes pour accepter, No pour refuser.

    Une fois la suppression effectuée, une fenêtre vous indique qu'un rapport a été généré.
    Ce dernier est placé dans le dossier RogueRemover, par défaut C:\Program Files\RogueRemover
    Une fois le nettoyage terminé, un rapport va s'ouvrir sur le Bloc-Note.

    Copier/coller le rapport dans la réponse et refaire un nouveau rapport hijackthis.
    0
  • 1
  • 2