Probleme trojan fond rouge

voizein -  
 voizein -
Bonjour, je me permet de réouvrir un sujet qui a déjà été traité plusieurs fois, seulement en suivant les conseils de quelques forumeurs, je n'ai toujours pas réussi a me dégager du problème.
Alors, au lieu d'avoir mon fond d'écran habituel, j'ai un fond d'écran tout rouge avec un signe biohazard/radioactif. Il ya marqué en fond : "YOUR PRIVACY IS IN DANGER, download privacy protection software now". De plus, régulièrement, des enêtres intempestives s'affichent, me demandant de télécharger l'antivirus en rapport avec ce problème. Bref. J'ai déja cherché longuement sur le net, essayé plusieurs solution, mais celà ne marche toujours pas. C'est pourquoi je fait appel a vous et votre gentilesse ! Aidez-moi je vous en supplie :s Merci !
Configuration: Windows Vista
Internet Explorer 7.0

24 réponses

  • 1
  • 2
  1. InfernO.vir
     
    Bonjour,

    /!\ Attention /!\ ne te fit pas aux sujets des autres victimes chaques cas est particulier tu pourrais endommager ton ordinateur

    Tu en effet infecté par un rogue suis ceci:

    -Telecharges ca: http://siri.urz.free.fr/Fix/SmitfraudFix.exe-
    -Suis ce tuto et poste moi le rapport de l'option 1--> http://www.malekal.com/tutorial_SmitFraudfix.php
    0
  2. ginto5 Messages postés 8747 Date d'inscription   Statut Membre Dernière intervention   683
     
    Bonjour,

    C'est une vieille arnarque qui traine sur le net depuis quelques mois.

    Si tu fais un scan avec ton anti-virus, le tien, pas celui q'ils essaient de te fourger, tu as bcp de chances de l'éliminer.

    Installes aussi un spyware (par ex. Pctools spyware doctor) et un anti malware (par ex. PrevxCSI) et renforce ta protection du firewall Windows, cela devrait peut-etre solutionner ton pb.
    0
  3. InfernO.vir
     
    Merci Ginto5 mais tes conseils ne sont pas des plus efficaces, le firewall windows est une passoire!

    Ensuite aucun antivirus supprime cette infection,il faut donc une demarche plus precise pour l'eradiquer!
    0
  4. voizein
     
    Merci de la rapidité de votre aide :) Il apparait ou dans l'ordinateur le rapport d'erreur ? :s
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. voizein
     
    SmitFraudFix v2.338

    Rapport fait à 18:03:14,32, 22/08/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\privacy_danger PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{ECB5C604-D9F1-4D93-BE99-8486A2DC1FAF}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{ECB5C604-D9F1-4D93-BE99-8486A2DC1FAF}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  7. InfernO.vir
     
    Bon la bestiole a été trouvé, maintenant retourne ici--> http://www.malekal.com/tutorial_SmitFraudfix.php

    -Et relance smitfraudfix en choisissant cette fois l'option 2

    -Poste moi le rapport a la fin
    0
  8. voizein
     
    Encore merci de ton aide ;) Voici le second rapport :

    SmitFraudFix v2.338

    Rapport fait à 18:26:51,20, 22/08/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\privacy_danger\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{ECB5C604-D9F1-4D93-BE99-8486A2DC1FAF}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{ECB5C604-D9F1-4D93-BE99-8486A2DC1FAF}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. voizein
     
    Bien comme avant, cette manip je l'ai déjà faite. Le fond d'ecran est rouge, des fenêtres intempestives s'ouvrent et le lecteur C ne se trouve plus dans "poste de travail" :s
    0
  10. InfernO.vir
     
    Bonjour, il a tt de meme travaillé smitfraudfix!

    -telecharger navilog1--> http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    -Suis ce tuto et poste moi le rapport de l'option 1 avant de continuer--> http://www.malekal.com/Adware.Magic_Control.php
    0
  11. voizein
     
    Search Navipromo version 3.6.5 commencé le 23/08/2008 à 15:20:20,34

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Administrateur"

    Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Recherche executé en mode sans échec

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    * Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :

    * Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 23/08/2008 à 15:31:52,31 ***
    0
  12. voizein
     
    Re :)
    Juste pour te préciser que le scan était en cours, seulement je l'ai déjà fait auparavant. En rallumant l'ordinateur, tout était redevenu normal, sauf le fait de ne pas pouvoir atteindre le lecteur c par le poste de travail, et "virus alert" était inscrit a côté de l'heure sur la barre des tâches. Puis au bout d'un certain temps, les problèmes sont réapparus (fond rouge et fenêtres intempestives). Je le refait selon ta demande, j'espère que cela va fonctionner cette fois-ci :s Je te poste le rapport dès le scan achevé ;) Encore merci.
    0
  13. voizein
     
    Malwarebytes' Anti-Malware 1.25
    Database version: 1062
    Windows 5.1.2600 Service Pack 2

    20:45:31 23/08/2008
    mbam-log-08-23-2008 (20-45-31).txt

    Scan type: Full Scan (C:\|)
    Objects scanned: 155770
    Time elapsed: 3 hour(s), 9 minute(s), 7 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 1
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 3

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    C:\System Volume Information\_restore{2CA8DFE1-8539-4B0B-A9AA-23A866FBBF1F}\RP212\A0023235.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{2CA8DFE1-8539-4B0B-A9AA-23A866FBBF1F}\RP212\A0023236.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{2CA8DFE1-8539-4B0B-A9AA-23A866FBBF1F}\RP212\A0023237.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
    0
  14. voizein
     
    Bien écoutes, il va beaucoup mieux. Plus aucun problèmes à l'horizon. J'éspère que cela va durer ! merci beaucoup ! :d
    0
  15. InfernO.vir
     
    ^^ Ton pc est clean .
    0
    1. voizein
       
      En fait, le problème n'est pas totalement éradiqué. Lorsque j'allume le pc, tout est normal, jusqu'à ce que le fond d'écran rouge revienne. Par contre, je peux de nouveau accéder au lecteur c et "virus alert" a disparu de la barre de tâches. Les fenêtres n'apparaissent plus non plus. Dans "WINDOWS", il y a un dossier qui s'appelle "Privacy" et qui contient l'image du fond d'ecran... Que faire ? :s
      0
  16. voizein
     
    Oui mais j'ai peur de les désactiver, car mon antivirus supprime constemment des virus appelé "trojan downloader"
    0
  17. voizein
     
    [b]SDFix: Version 1.219 [/b]
    Run by Administrateur on 24/08/2008 at 14:27

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File
    Restoring Default HomePage Value
    Restoring Default Desktop Components Value

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\WINDOWS\privacy_danger\index.htm - Deleted
    C:\WINDOWS\privacy_danger\images\capt.gif - Deleted
    C:\WINDOWS\privacy_danger\images\danger.jpg - Deleted
    C:\WINDOWS\privacy_danger\images\down.gif - Deleted
    C:\WINDOWS\privacy_danger\images\spacer.gif - Deleted
    C:\WINDOWS\privacy_danger\images\Thumbs.db - Deleted
    C:\WINDOWS\rafbsvnx.dll - Deleted
    C:\WINDOWS\tqwolser.exe - Deleted
    C:\WINDOWS\tsxngabr.dll - Deleted

    Folder C:\WINDOWS\privacy_danger - Removed

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-24 14:42:17
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\FrostWire\\FrostWire.exe"="C:\\Program Files\\FrostWire\\FrostWire.exe:*:Enabled:LimeWire"
    "C:\\Program Files\\Mozilla Firefox 3 Beta 4\\firefox.exe"="C:\\Program Files\\Mozilla Firefox 3 Beta 4\\firefox.exe:*:Enabled:Firefox"
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Program Files\\TmNationsForever\\TmForever.exe"="C:\\Program Files\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Sat 22 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Thu 27 Mar 2008 211,968 A..H. --- "C:\Documents and Settings\Propri‚taire\Local Settings\Temp\~230.tmp"
    Wed 26 Mar 2008 211,968 A..H. --- "C:\Documents and Settings\Propri‚taire\Local Settings\Temp\~2B6.tmp"
    Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BITF.tmp"
    Tue 10 Jun 2008 101,352,837 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a6f36bca80076bc7b8770a1b1fa57c6b\BIT1F.tmp"

    [b]Finished![/b]
    0
  • 1
  • 2