Virus ALERTE niveau horloge

bbbenoitt Messages postés 8 Statut Membre -  
 rooney -
Bonjour,

j'ai un virus qui m'empeche d'avoir acces à certains menus, et plein de spywares avec des messages partout

j'ai lu qu'il fallait que j'installe un logiciel qui fasse un scan et que je cc le log ici, mais encore faut il que quelqu'un m'aide...je lance donc un appel pour ceux qui voudront bien 'maider

merci d'avance

benoit
Configuration: Windows XP
Internet Explorer 6.0

11 réponses

  1. Utilisateur anonyme
     
    salut,

    Télécharge HijackThis ici :

    -> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post le rapport généré ici stp...
    0
  2. bbbenoitt Messages postés 8 Statut Membre
     
    voila le log, merci d'avance de votre aide :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:02: VIRUS ALERT!, on 26/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    E:\Program Files\Bonjour\mDNSResponder.exe
    E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    E:\WINDOWS\system32\nvsvc32.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\system32\nvraidservice.exe
    E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
    E:\WINDOWS\system32\RunDll32.exe
    E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    E:\Program Files\QuickTime\QTTask.exe
    E:\Program Files\iTunes\iTunesHelper.exe
    E:\WINDOWS\system32\lphclonj0e187.exe
    E:\Program Files\rhcgonj0e187\rhcgonj0e187.exe
    E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    E:\WINDOWS\system32\wbem\unsecapp.exe
    E:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
    E:\Program Files\iPod\bin\iPodService.exe
    E:\WINDOWS\system32\pphclonj0e187.exe
    E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    E:\Program Files\Internet Explorer\iexplore.exe
    E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: QXK Olive - {73044EAD-C67A-4673-81E0-191EA6653B7B} - E:\WINDOWS\nfavxwdbsxo.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar3.dll
    O3 - Toolbar: fdkowvbp - {CB43E6DF-F6E4-4464-8AE2-F680AD49185E} - E:\WINDOWS\fdkowvbp.dll
    O4 - HKLM\..\Run: [NVRaidService] E:\WINDOWS\system32\nvraidservice.exe
    O4 - HKLM\..\Run: [NVMixerTray] "E:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [OESpamTest] E:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Kaspersky Anti-Virus 2006] E:\Program Files\Kaspersky Lab\AVP6\avp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [CloneDVDElbyDelay] "E:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [RoxWatchTray] "E:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
    O4 - HKLM\..\Run: [lphclonj0e187] E:\WINDOWS\system32\lphclonj0e187.exe
    O4 - HKLM\..\Run: [SMrhcgonj0e187] E:\Program Files\rhcgonj0e187\rhcgonj0e187.exe
    O4 - HKCU\..\Run: [Totocam] E:\PROGRA~1\ALLOCA~1\allocam.exe 1
    O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - E:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
    O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - E:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
    O21 - SSODL: eqvwamkl - {F607FBBB-4710-4BDB-B37B-0E2B80D5B1B0} - E:\WINDOWS\eqvwamkl.dll
    O21 - SSODL: wnslvxtf - {330C82F3-A489-4F42-A644-A16620D48F33} - E:\WINDOWS\wnslvxtf.dll
    O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - E:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
    O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - E:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
    O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - E:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - E:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - E:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    O24 - Desktop Component 0: Privacy Protection - file:///E:\WINDOWS\privacy_danger\index.htm
    0
  3. Utilisateur anonyme
     
    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. bbbenoitt Messages postés 8 Statut Membre
     
    voila le résultat..

    SmitFraudFix v2.331

    Rapport fait à 20:08:30,67, 26/07/2008
    Executé à partir de E:\Documents and Settings\Benoit\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    E:\Program Files\Bonjour\mDNSResponder.exe
    E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    E:\WINDOWS\system32\nvsvc32.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\system32\nvraidservice.exe
    E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
    E:\WINDOWS\system32\RunDll32.exe
    E:\Program Files\QuickTime\QTTask.exe
    E:\Program Files\iTunes\iTunesHelper.exe
    E:\WINDOWS\system32\lphclonj0e187.exe
    E:\Program Files\rhcgonj0e187\rhcgonj0e187.exe
    E:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    E:\WINDOWS\system32\wbem\unsecapp.exe
    E:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
    E:\Program Files\iPod\bin\iPodService.exe
    E:\WINDOWS\system32\pphclonj0e187.exe
    E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    E:\Program Files\Internet Explorer\iexplore.exe
    E:\Documents and Settings\Benoit\Bureau\SmitfraudFix\Policies.exe
    E:\Documents and Settings\Benoit\Bureau\SmitfraudFix\Policies.exe
    E:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» E:\

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

    E:\WINDOWS\privacy_danger PRESENT !
    E:\WINDOWS\Tasks\At?.job PRESENT !
    E:\WINDOWS\Tasks\At??.job PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Benoit

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Benoit\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\Benoit\Favoris

    E:\DOCUME~1\Benoit\Favoris\Error Cleaner.url PRESENT !
    E:\DOCUME~1\Benoit\Favoris\Privacy Protector.url PRESENT !
    E:\DOCUME~1\Benoit\Favoris\Spyware?Malware Protection.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    E:\DOCUME~1\Benoit\Bureau\Error Cleaner.url PRESENT !
    E:\DOCUME~1\Benoit\Bureau\Privacy Protector.url PRESENT !
    E:\DOCUME~1\Benoit\Bureau\Spyware?Malware Protection.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="file:///E:\\WINDOWS\\privacy_danger\\index.htm"
    "SubscribedURL"=""
    "FriendlyName"="Privacy Protection"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri
    +--------------------------------------------------+
    [!] Suspicious: nfavxwdbsxo.dll
    BHO: QXK Olive - {73044EAD-C67A-4673-81E0-191EA6653B7B}
    TypeLib: {C26678DE-6B15-4156-9695-6AB6E163B677}
    Interface: {8B54CB0F-A209-4A8D-B328-EA367BFB27EE}
    Interface: {B0659AB4-443C-4348-A257-DDAB0D2B91FB}

    [!] Suspicious: fdkowvbp.dll
    Toolbar: fdkowvbp - {CB43E6DF-F6E4-4464-8AE2-F680AD49185E}
    TypeLib: {89F53131-DDC8-403D-8162-10425BC559BD}
    Interface: {E57A91BC-6004-4D02-9FF5-1197400455CE}
    Classe: fdkowvbp.bkdw
    Classe: fdkowvbp.ToolBar.1

    [!] Suspicious: eqvwamkl.dll
    SSODL: eqvwamkl - {F607FBBB-4710-4BDB-B37B-0E2B80D5B1B0}

    [!] Suspicious: wnslvxtf.dll
    SSODL: wnslvxtf - {330C82F3-A489-4F42-A644-A16620D48F33}

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="E:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CS3\Services\Tcpip\..\{A199DE78-FA26-4E7F-97D1-9B5CC289A430}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  6. Utilisateur anonyme
     
    # Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    # Relance le programme Smitfraud :
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
    0
  7. bbbenoitt Messages postés 8 Statut Membre
     
    voila le rapport effectué en mode sans échec
    bcp de choses vont mieux (spywares et cie, messages intempestifs) mais tout n'est pas encore résolus, j'ai encore qq résidus de message :

    SmitFraudFix v2.331

    Rapport fait à 20:35:12,59, 26/07/2008
    Executé à partir de E:\Documents and Settings\Benoit\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri
    E:\WINDOWS\nfavxwdbsxo.dll deleted.
    E:\WINDOWS\fdkowvbp.dll deleted.
    E:\WINDOWS\eqvwamkl.dll deleted.
    E:\WINDOWS\wnslvxtf.dll deleted.

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    E:\WINDOWS\privacy_danger\ supprimé
    E:\WINDOWS\Tasks\At?.job supprimé
    E:\WINDOWS\Tasks\At??.job supprimé
    E:\DOCUME~1\Benoit\Bureau\Error Cleaner.url supprimé
    E:\DOCUME~1\Benoit\Bureau\Privacy Protector.url supprimé
    E:\DOCUME~1\Benoit\Bureau\Spyware?Malware Protection.url supprimé
    E:\DOCUME~1\Benoit\Favoris\Error Cleaner.url supprimé
    E:\DOCUME~1\Benoit\Favoris\Privacy Protector.url supprimé
    E:\DOCUME~1\Benoit\Favoris\Spyware?Malware Protection.url supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A199DE78-FA26-4E7F-97D1-9B5CC289A430}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A199DE78-FA26-4E7F-97D1-9B5CC289A430}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{A199DE78-FA26-4E7F-97D1-9B5CC289A430}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  8. Utilisateur anonyme
     
    Telecharge malwarebytes

    -> http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    0
  9. bbbenoitt Messages postés 8 Statut Membre
     
    bonsoir

    voici le log (enfin car 3heures pour faire l'analyse!)

    je pense qu'apres tout ça l'ordi fonctionne mieux, meme si j'ai quelques messages intempestifs de kaspersky
    en effet dès que j'ouvre IE une fenetre apparait avec u messagedu type
    Processus e/\program files...\ieplore.exe (PID : 3392)...puis un code binaire

    j'ai l'impression d'avoir créer une règle dans kaspersky mais je ne trouve comment l'enlever

    si tu as une petite idée la dessus Chiquitine29

    en tous les cas grand merci à toi, ce site est super, quelle réactivité

    j'ai presque envie de dire "et combien je vous dois?"

    Benoit

    Malwarebytes' Anti-Malware 1.23
    Version de la base de données: 995
    Windows 5.1.2600 Service Pack 2

    00:03:22 27/07/2008
    mbam-log-7-27-2008 (00-03-22).txt

    Type de recherche: Examen complet (C:\|E:\|)
    Eléments examinés: 88573
    Temps écoulé: 1 hour(s), 37 minute(s), 3 second(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 8
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 11
    Fichier(s) infecté(s): 10

    Processus mémoire infecté(s):
    E:\WINDOWS\system32\blphclonj0e187.scr (Trojan.FakeAlert) -> Unloaded process successfully.
    E:\WINDOWS\system32\pphclonj0e187.exe (Trojan.FakeAlert) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcgonj0e187 (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\rhcgonj0e187 (Rogue.Multiple) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclonj0e187 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcgonj0e187 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187 (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\rhcgonj0e187\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    E:\WINDOWS\edbo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    E:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\WINDOWS\system32\blphclonj0e187.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\WINDOWS\system32\lphclonj0e187.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\WINDOWS\system32\phclonj0e187.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\WINDOWS\system32\pphclonj0e187.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    E:\Documents and Settings\Benoit\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
    0
  10. Utilisateur anonyme
     
    cool si ça va mieux

    réouvre malewarebyte
    va sur quarantaine
    supprime tout

    ensuite refais un scan hijackthis et poste le rapport stp
    0
  11. rooney
     
    salut j'ai presque le meme problème et au demarage windows ne trouve pas beaucoup de registre ainsi ya plus beaucoup d'icône dans le menu demarrer help svp
    0