Spam croix blanche dans rond rouge

brunomax59550 Messages postés 55 Statut Membre -  
 brunomax59550 -
Bonjour,
depuis 2 jours, mon pc tourne au ralenti notamment les recherches sur le net
j'ai remarqué l'apparition d'une croix blanche dans un rond rouge en bas qui m'indique:
your computer is infected

click here to protect your computer from spamware ( chose que je n'ai pas faite bien entendu!!)

mais les fenêtre intempestives n'arrète pas de d'intercaler, ce qui rend la naviguation très difficle, que me conseillez vous?
sur mon poste de travail le logo xp sécuriti center s'est installé et j'ai beua essayé de l'enlever rien n'y fait
j'ai avast comme anti virus,
merci de vos conseils
Configuration: Windows XP
Internet Explorer 6.0

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème décrit est une infection avec affichage de fenêtres intempestives et d'une icône croix blanche dans un rond rouge signalant 'your computer is infected', provoquant ralentissements et navigation difficile.
Plusieurs réponses proposent des mesures de nettoyage, notamment l’usage d’outils tels que Smitfraudfix, SDFix et HijackThis, et l’installation éventuelle d’un pare-feu comme Online Armor.
D’autres conseils préconisent de désactiver puis réactiver la restauration du système après nettoyage, de vérifier Avast en version complète et d’évaluer le recours à un pare-feu externe.
En cas d’infection persistante, l’emploi d’outils supplémentaires et l’exécution de scans en mode sans échec, avec partage de rapports détaillés, permettent d’orienter les actions sans conclure à l’état définitif.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    l'adware EDAcess ne se suppprimes pâs avec hijackthis !

    il necessite l'intervention de navilog !
    2
    1. Utilisateur anonyme
       
      +1
      En + un bon Vundo qui va avec.
      0
    2. brunomax59550 Messages postés 55 Statut Membre
       
      j'ai posté sur le forum le résultat de la recherche comme conseillé
      que dois je faire maintenant?
      dois je suivre la procédure indiquée dans le guide d'utilisation de smitfraudfix?
      0
  2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    STP jfkpresident n'intervient pas j'ai commencé donc c'est à moi de terminer!! ;)
    Merci


    je n'ai jamais dit que j'allais intervenir puisque j'ai juste mis : " pour suivre" ..... c'est tout !

    reste Zen .....
    1
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    pour faire avancer les choses ,fait ceci brunomax :

    Télécharge smitfraudfix
    Utilitaire de S!Ri: Moe et balltrap34

    Installe le à la racine de C : tuto d'utilisation
    Double clique sur l'exe pour le décompresser et lancer le fix.
    Utilisation option 1 Recherche :
    Double clique sur smitfraudfix.cmd
    Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

    Ne fais rien d'autre sans notre avis

    Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    1
  4. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    ok ,bonne rentrée avec ces gentils petits garnements :)
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    nous avons avast masi en version gratuite
    que penses-tu du pare feu alors?


    A ma connaissance avast ne possede pas de pare-feu ?! tu vas installer celui ci :

    Online Armor : téléchargement:http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    tutoriels:https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    :https://www.malekal.com/tutorial-online-armor-free/

    /!\N'oubli pas de désactiver celui d'Xp/!\

    veux tu que je refasse un hijjack?

    Non et de plus tu ne pourrais pas puisqu'on la viré ainsi que le reste avec Toolscleaner .

    derniere chose avant de se quitter :

    Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

    * Désactivation :
    Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok.

    * Activation :
    Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..

    Voili,VoiloO Bon surf !
    1
  7. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    bonjour a vous deux ;

    pour suivre ....
    0
  8. pictom41 Messages postés 537 Statut Membre 15
     
    Télélcharge MBAM (présent dans la logithèque CCM),
    Redémarre en mode sans échec (tapote la touche F8 jusqu'a ce que t'aies un menu sur fond noir,
    Avec els flèches appuye sur démarrer windows en mode sans échec.
    Entre sur ta session.
    Lance un mbam et fait un SCAN COMPLET
    MBAM = Malwarebytes Anti Malware
    0
  9. pictom41 Messages postés 537 Statut Membre 15
     
    Bonjour monsieur j'exige.
    Faudrait peut-être que tu lise la charte !!!
    C'est pas parce que tu lui as répondu en premier que c'est TA PROPRIETE...
    Donc, soit moins agressif ou je serai obligé de le signaler.
    0
  10. pictom41 Messages postés 537 Statut Membre 15
     
    La dernière fois que quelqu'un a fait sa tout seul avec celui ou celle qui avait un problème il a bouziller un ordi, disque dur inbootable, ram grillé, CPU brulé ...
    Et je me rappelle il était arrivé sur le site 2 jours avant son soi disant bienvaillant conseil ....
    0
  11. brunomax59550 Messages postés 55 Statut Membre
     
    Merci à tous les deux pour votre aide, j'ai opté pour la démarche suivante et voici le copié collé de
    do a system scan and save a logfile"
    que dois je faire maintenant?
    merci beaucoup
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:48:17, on 02/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\CTsvcCDA.EXE
    c:\program files\mcafee.com\agent\mcdetect.exe
    c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\braviax.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ssmypics.scr
    C:\WINDOWS\system32\drwtsn32.exe
    C:\WINDOWS\system32\dumprep.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
    O4 - HKLM\..\Run: [005839cc] rundll32.exe "C:\WINDOWS\system32\hajeahek.dll",b
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
    O9 - Extra button: Barre Privacy - {cc4b2ee5-4803-11d7-8a38-00b0d0c6b814} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://*.billingnow.com
    O15 - Trusted Zone: http://*.reliablestats.com
    O15 - Trusted Zone: http://*.winantispyware.com
    O15 - Trusted Zone: http://*.winantivirus.com
    O15 - Trusted Zone: http://*.winantiviruspro.com
    O15 - Trusted Zone: http://*.winfixer.com
    O15 - Trusted Zone: http://*.winnanny.com
    O15 - Trusted Zone: http://*.winsoftware.com
    O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {0DA910BC-6919-489E-B584-D9A4AAC7B8DE} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
    O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {A31D9A13-4C45-4DFB-8827-BA4F402D9C95} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab
    O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
    O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} - https://www.afternic.com/domains/downloadv3.com
    O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_em_XP.cab
    O20 - AppInit_DLLs: yukgyu.dll
    O22 - SharedTaskScheduler: Security Update - {A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F} - (no file)
    O22 - SharedTaskScheduler: WaitWain for Windows - {C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C} - (no file)
    O22 - SharedTaskScheduler: forevouched - {6af69c4d-420a-4c95-b34f-e4635f84f53b} - C:\WINDOWS\system32\viwpzla.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
    O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
    0
  12. brunomax59550 Messages postés 55 Statut Membre
     
    et maintenant, je fais quoi avec mon virus?
    0
  13. brunomax59550 Messages postés 55 Statut Membre
     
    merci pour ton aide
    plus le temps de m'en occuper maintenant, je te tiens au courant
    0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    ok, pas de soucis .

    @+
    0
  15. brunomax59550 Messages postés 55 Statut Membre
     
    bonjour, voici comme convenu un rapport des fichiers responsables de l'infection.
    j'ai utilisé smitfraudfix comme indiqué dans le message

    merci beaucoup de m'indiquer la marche à suivre

    SmitFraudFix v2.333

    Rapport fait à 13:48:44,46, 03/08/2008
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    c:\program files\mcafee.com\agent\mcdetect.exe
    c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\braviax.exe
    C:\windows\system32\eywig.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\ot.ico PRESENT !
    C:\WINDOWS\system32\stdole3.tlb PRESENT !
    C:\WINDOWS\system32\ts.ico PRESENT !
    C:\WINDOWS\system32\1024\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Malware-Wipe\ PRESENT !
    C:\Program Files\Media-Codec\ PRESENT !
    C:\Program Files\SpyQuake2.com\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}"="Security Update"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}"="WaitWain for Windows"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"

    [HKEY_CLASSES_ROOT\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
    @="C:\WINDOWS\system32\viwpzla.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
    @="C:\WINDOWS\system32\viwpzla.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=" yukgyu.dll ppajnc.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 213.228.0.96

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 213.228.0.159

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.53.252
    DNS Server Search Order: 212.27.54.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  16. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    salut bruno ;

    voila la suite avec smitfraudfix :

    * Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
    * Double cliquer sur SmitfraudFix.exe
    * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
    * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

    ensuite :

    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    pour télécharger navilog1.exe.

    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.

    double-clique sur le raccourci Navilog1 présent sur le bureau .

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
  17. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    coucou bruno ;je suis de retour de vacances !

    ou est le rapport de nettoyage avec smitfraudfix et navilog ?
    0
    1. brunomax59550 Messages postés 55 Statut Membre
       
      bonjour
      j'éspère que les vacances furent bonnes
      rapport de nettoyage posté sur le net
      0
  18. brunomax59550 Messages postés 55 Statut Membre
     
    voici le deuxième rapport suite à nettoyage smit
    pas eu le temps de télécharger la suite
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}"="Security Update"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}"="WaitWain for Windows"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"

    [HKEY_CLASSES_ROOT\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
    @="C:\WINDOWS\system32\viwpzla.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
    @="C:\WINDOWS\system32\viwpzla.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 213.228.0.96

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 213.228.0.159

    Description: FreeBox USB Network Adapter #4 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{4160CA5C-EA8E-45CE-B9C9-D1EC08AD7E80}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{935E5F9D-3A60-4FD9-9D22-3C798A4C22FD}: DhcpNameServer=212.27.54.252 213.228.0.96
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{F5D87C93-6ED5-42EF-BA10-3B807390EC1C}: DhcpNameServer=212.27.54.252 213.228.0.159
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  19. brunomax59550 Messages postés 55 Statut Membre
     
    voili le résultat navilog
    en attendant, mon fond d'écran est devenu tout bleu et pour accéder à internet, j'ai perdu ma page d'accueil google ( j'atteris sur microsoft) et la barre du bas a disparu , est ce normal?
    je dois m'en aller et reprendrai la suite ce soir , au plus tard demain
    merci de prendre le temps de m'aider
    cordialement bruno59550
    Search Navipromo version 3.6.2 commencé le 08/08/2008 à 11:51:48,76

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Propriétaire"

    Mise à jour le 07.08.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    Instant Access
    MailSkinner

    *** Recherche dossiers dans "C:\WINDOWS" ***

    C:\WINDOWS\mslagent trouvé !
    C:\WINDOWS\msskinner trouvé !

    *** Recherche dossiers dans "C:\Program Files" ***

    ...\Instant Access trouvé !
    ...\MailSkinner trouvé !
    ...\Montorgueil trouvé !

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~2\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *

    *** Recherche fichiers ***

    C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !
    C:\WINDOWS\Downloaded Program Files\syswbsvc32.inf trouvé !
    C:\WINDOWS\tmlpcert2007 trouvé !
    C:\WINDOWS\system32\msegcompid.dll trouvé !
    C:\WINDOWS\system32\mseggrpid.dll trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_CURRENT_USER\Software\mc trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    brfamevhd.dat trouvé !
    brfamevhd_nav.dat trouvé !
    brfamevhd_navps.dat trouvé !
    nmhzfs.dat trouvé !
    nmhzfs_nav.dat trouvé !
    nmhzfs_navps.dat trouvé !
    uquck.dat trouvé !
    uquck_nav.dat trouvé !
    uquck_navps.dat trouvé !

    * Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\RCKRBJlm.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\WFhggMoq.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

    *** Analyse terminée le 08/08/2008 à 11:53:32,67 ***
    0
  20. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    en attendant, mon fond d'écran est devenu tout bleu et pour accéder à internet, j'ai perdu ma page d'accueil google ( j'atteris sur microsoft) et la barre du bas a disparu , est ce normal?

    ceci est du aux infections qui gagnent du terrain .

    la suite avec navilog :

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Postes le rapport içi.

    Cet adware est installé, entre autre, par les programmes :go-astro - Instant Access - InternetGameBox - GoRecord -
    HotTVPlayer - MailSkinner - Messenger Skinner - sudoplanet - Webmediaplayer


    0
  • 1
  • 2
  • 3