Windows has detected spyware infection :((
MissLili
-
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour à tous ,
Sur l'ordi de mon conjoint était installé ZonAlarm. Depuis 2 mois tous les jours une fenêtre s'ouvrait me disant en gros que ce n'était plus à jour je crois. Etant donné que nous avions installé le logiciel Antivir je n'y faisais pas attention et ce soir je crois que j'ai commis LA boulette en le désinstallant depuis "Ajouter ou supprimer des programmes" !!! Quelquechose a du mal se passer, j'ai eu un écran bleu passager (même pas pu lire ce qui était écrit) et depuis cette boulette il y a une heure les problèmes s'enchainent :
- Antivir m'a alerté de tout un tas de virus que j'ai mis en quarantaine.
- Windows me dit des choses bizarres comme quoi il y a eu un probleme system.
- J'ai voulu mettre à jour antivir (derniere update le 07/09/08), depuis je ne peux plus me servir d'Antivir !!!
- L'ordi redemarre tout seul quand ça lui chante en me disant que ça vient du system windows.
- Et j'ai dans la barre des tâches en bas à droite un rond rouge avec une croix blanche qui me dit toutes les 5s que "Windows has detected spyware infection" et windows security centerme dit que je vais au "total system crash"
Dites... j'ai comme un doute là, je crois que c'est grave docteur :((((
Sur l'ordi de mon conjoint était installé ZonAlarm. Depuis 2 mois tous les jours une fenêtre s'ouvrait me disant en gros que ce n'était plus à jour je crois. Etant donné que nous avions installé le logiciel Antivir je n'y faisais pas attention et ce soir je crois que j'ai commis LA boulette en le désinstallant depuis "Ajouter ou supprimer des programmes" !!! Quelquechose a du mal se passer, j'ai eu un écran bleu passager (même pas pu lire ce qui était écrit) et depuis cette boulette il y a une heure les problèmes s'enchainent :
- Antivir m'a alerté de tout un tas de virus que j'ai mis en quarantaine.
- Windows me dit des choses bizarres comme quoi il y a eu un probleme system.
- J'ai voulu mettre à jour antivir (derniere update le 07/09/08), depuis je ne peux plus me servir d'Antivir !!!
- L'ordi redemarre tout seul quand ça lui chante en me disant que ça vient du system windows.
- Et j'ai dans la barre des tâches en bas à droite un rond rouge avec une croix blanche qui me dit toutes les 5s que "Windows has detected spyware infection" et windows security centerme dit que je vais au "total system crash"
Dites... j'ai comme un doute là, je crois que c'est grave docteur :((((
A voir également:
- Windows has detected spyware infection :((
- Clé windows 8 - Guide
- Montage video gratuit windows - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Windows ne démarre pas - Guide
- Restauration systeme windows 10 - Guide
160 réponses
Bon alors tout a fonctionné, il en a supprimé un paquet. J'ai quitté, je suis allée sur C: pour trouver le rapport. J'ai trouvé un fichier TCleaner.txt mais quand j'ai essayé de l'ouvrir pas moyen ça me dit "impossible de trouver notepad.exe. Ce programme est nécessaire pour ouvrir les fichiers du type texte. ENtrer le nom du fichier executable à utiliser : C:\
ah bon ?!
cliques sur démarrer => tous les programmes => accessoires
est ce que le bloc note s y trouve ?? (notepad)
cliques sur démarrer => tous les programmes => accessoires
est ce que le bloc note s y trouve ?? (notepad)
Bon, j'ai bidouillé pour le passer sous word, j'ai pu l'ouvrir voici le rapport :
[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\VundoFix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\avenger: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères 09 08\hijackthis.log: trouvé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères1\VBG.txt: trouvé !
C:\Documents and Settings\Nicolas\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\RECYCLER\S-1-5-21-1409082233-1677128483-682003330-1003\Dc16\Combofix.txt: trouvé !
C:\Téléchargements\VirtumundoBeGone.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Nicolas\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Téléchargements\VirtumundoBeGone.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères 09 08\hijackthis.log: supprimé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères1\VBG.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\RECYCLER\S-1-5-21-1409082233-1677128483-682003330-1003\Dc16\Combofix.txt: supprimé !
C:\avenger: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Corbeille vidée!
Fichiers temporaires nettoyés !
[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\VundoFix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\avenger: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères 09 08\hijackthis.log: trouvé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères1\VBG.txt: trouvé !
C:\Documents and Settings\Nicolas\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\RECYCLER\S-1-5-21-1409082233-1677128483-682003330-1003\Dc16\Combofix.txt: trouvé !
C:\Téléchargements\VirtumundoBeGone.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Nicolas\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Téléchargements\VirtumundoBeGone.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères 09 08\hijackthis.log: supprimé !
C:\Documents and Settings\Nicolas\Bureau\Misère\Misères1\VBG.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\RECYCLER\S-1-5-21-1409082233-1677128483-682003330-1003\Dc16\Combofix.txt: supprimé !
C:\avenger: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Corbeille vidée!
Fichiers temporaires nettoyés !
Ca ne m'étonne pas plus que ça qu'il n'est pas trouver le notepad, ça à l'air d'être le grand jeu d'un des virus depuis hier soir, me dire que des applications que pourtant j'utilise depuis toujours sont au choix : refusé par l'administratuer, pas trouvées, supprimées...
Quel farceur...
Quel farceur...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lol...réessais ceci stp :
télécharge combofix (par sUBs) à cette adresse :
(c est le numéro 5 en bas de la page) : https://www.androidworld.fr/
et enregistre le sur le Bureau.
désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici un tuto pour bien l'installer et savoir l utiliser : https://www.androidworld.fr/
ensuite envois le rapport stp
télécharge combofix (par sUBs) à cette adresse :
(c est le numéro 5 en bas de la page) : https://www.androidworld.fr/
et enregistre le sur le Bureau.
désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici un tuto pour bien l'installer et savoir l utiliser : https://www.androidworld.fr/
ensuite envois le rapport stp
Pour ce qui est de désactiver mes protections :
* Le pare feu j'imagine que c'était Zone Alarm, ce que j'ai supprimé au début, cause de toute cette m.... Si j'en ai un autre je ne le connais pas.
* La garde en temps réelle je crois bien que je n'en ai pas non plus, j'avais adaware mais sur la version gratuite je crois qu'il n'y a pas cette fonctionnalité.
* Et la protection residente de mon antivirus, ça j'avais mais il est en carafe !
Bref... Je ne sais quoi desactiver, si peu qu'il y ait encore qqch de vivant dans ce PC !!!
* Le pare feu j'imagine que c'était Zone Alarm, ce que j'ai supprimé au début, cause de toute cette m.... Si j'en ai un autre je ne le connais pas.
* La garde en temps réelle je crois bien que je n'en ai pas non plus, j'avais adaware mais sur la version gratuite je crois qu'il n'y a pas cette fonctionnalité.
* Et la protection residente de mon antivirus, ça j'avais mais il est en carafe !
Bref... Je ne sais quoi desactiver, si peu qu'il y ait encore qqch de vivant dans ce PC !!!
tu dois désactiver ton antivirus qui est dans ta barre des taches en bas à droite en faisant un clic droit sur son icone et sélectionner "désactiver" ou "quitter" (ca change suivant l antivirus)
et te déconnecter d internet
et te déconnecter d internet
Bon, j'ai lancé Combofix avant de voir ton message. Je ne peux pas aller dans la barre de menu à droite pour l'antivirus étant donné qu'il est "défunt" c'est à dire que au lieu de me lancer l'antivirus au démarrage j'ai un message d'erreur qui apparait, me disant que l'application antivir a été détruite ou modifiée.
Je ne me suis pas déconnectée d'internet pendant combofix. Ce dernier à bien fonctionné, il a redemarré mon PC puis il m'a dit d'attendre pendant qu'il préparait le rapport. Mais après il a dit qu'il ne pouvait pas ouvrir le fichier, puis le virus a planté mon ardi et l'a redémarré !
Y a t'il un moyen de récupérer ce rapport combofix vu que le programme s'est quand même déroulé ? Est ce parce que je ne me suis pas deconnectée du net ?
(Depuis ce redémarrage de nouveau Windows has detected a spyware infection !)
Je ne me suis pas déconnectée d'internet pendant combofix. Ce dernier à bien fonctionné, il a redemarré mon PC puis il m'a dit d'attendre pendant qu'il préparait le rapport. Mais après il a dit qu'il ne pouvait pas ouvrir le fichier, puis le virus a planté mon ardi et l'a redémarré !
Y a t'il un moyen de récupérer ce rapport combofix vu que le programme s'est quand même déroulé ? Est ce parce que je ne me suis pas deconnectée du net ?
(Depuis ce redémarrage de nouveau Windows has detected a spyware infection !)
Bon en attendant j'ai lancé ad aware (je l'avais deja sur mon pc avant tout ça) sur un scan "simple", il m'a trouvé un virus et un malware que j'ai supprimés, voici le rapport au cas où... C'est bref à mon avis ça n'apporte rien m'enfin...
Scan mode: Smart
Scan time: 00:11:50
Number of objects scanned: 145766
Number of infections found: 6
Critical: 4
Privacy Objects: 2
Infections deleted: 6
Total infections quarantined: 0
Total infections ignored by scanner: 0
Scan mode: Smart
Scan time: 00:11:50
Number of objects scanned: 145766
Number of infections found: 6
Critical: 4
Privacy Objects: 2
Infections deleted: 6
Total infections quarantined: 0
Total infections ignored by scanner: 0
Rien sur Combofix, je réesairait demain en me deconnectant du net. Cependant miracle j'ai réussi à installer et à lancer Malewerbytes, voici le rapport :
Malwarebytes' Anti-Malware 1.27
Version de la base de données: 1133
Windows 5.1.2600 Service Pack 1
2008-09-10 01:07:54
mbam-log-2008-09-10 (01-07-54).txt
Type de recherche: Examen complet (C:\|J:\|)
Eléments examinés: 106581
Temps écoulé: 55 minute(s), 40 second(s)
Processus mémoire infecté(s): 4
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12
Processus mémoire infecté(s):
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\wintcps.exe (Backdoor.Vanbot) -> Failed to unload process.
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\buritos (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP SecurityCenter (Rogue.XPSecurityCenter) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\045d0d30 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Heuristics.Reserved.Word.Exploit) -> Data: system32\drivers\svchost.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe %WINDIR%\system32\drivers\svchost.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\K36UQ28Q\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\buritos.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\wintcps.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\wintcps.exe (Backdoor.Vanbot) -> Delete on reboot.
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
Malwarebytes' Anti-Malware 1.27
Version de la base de données: 1133
Windows 5.1.2600 Service Pack 1
2008-09-10 01:07:54
mbam-log-2008-09-10 (01-07-54).txt
Type de recherche: Examen complet (C:\|J:\|)
Eléments examinés: 106581
Temps écoulé: 55 minute(s), 40 second(s)
Processus mémoire infecté(s): 4
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12
Processus mémoire infecté(s):
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\wintcps.exe (Backdoor.Vanbot) -> Failed to unload process.
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\microsoft windows tcp protocol (Backdoor.Vanbot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\buritos (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP SecurityCenter (Rogue.XPSecurityCenter) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\045d0d30 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Heuristics.Reserved.Word.Exploit) -> Data: system32\drivers\svchost.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe %WINDIR%\system32\drivers\svchost.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\K36UQ28Q\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\buritos.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\wintcps.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\wintcps.exe (Backdoor.Vanbot) -> Delete on reboot.
C:\WINDOWS\system32\drivers\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
ok...c est déjà bon signe car je vois que malwarebytes a supprimé braviax...Mais j espère qu il ne va pas se réinstaller automatiquement :s
On continueras demain alors si j ai bien compris ??
On continueras demain alors si j ai bien compris ??
Mais si tu es ok pour continuer, j'attends tes ordres ! Un petir rapport Hijack machin pour continuer ??
Là mon ordi a été redémarré par Malewarbytes car tout n'avait pas pu être éradiqué d'après ce que j'ai compris... donc je ne suis pas tirée d'affaire je crois !
C est normal, malwarebytes doit terminer la suppression de certains fichiers...
refais un nouveau rapport hijackthis pour vérifier ce qu il reste stp
je vérifierai tout ca demain ;-)
Bonne fin de soirée @+
refais un nouveau rapport hijackthis pour vérifier ce qu il reste stp
je vérifierai tout ca demain ;-)
Bonne fin de soirée @+
Donc voili voila mon rapport !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:25, on 2008-09-10
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Micro Application\12 DICOS Indispensables\MediaDICO12.EXE
C:\Program Files\Micro Application\12 DICOS Indispensables\Rac12.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\dllcache\Rtsecar.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF11824.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1409082233-1677128483-682003330-1003 Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (User '?')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092950115546
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe
O23 - Service: Microsoft Media - Unknown owner - C:\WINDOWS\System32\dllcache\Rtsecar.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:25, on 2008-09-10
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Micro Application\12 DICOS Indispensables\MediaDICO12.EXE
C:\Program Files\Micro Application\12 DICOS Indispensables\Rac12.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\dllcache\Rtsecar.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF11824.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-1409082233-1677128483-682003330-1003\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1409082233-1677128483-682003330-1003 Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (User '?')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092950115546
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe
O23 - Service: Microsoft Media - Unknown owner - C:\WINDOWS\System32\dllcache\Rtsecar.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
Encore merci pour ta patience et tes conseils ! Je reviendrais roder demain plutôt en fin de soirée si j'ai bien compris ;)
Merci à toi et bonne nuit !
Merci à toi et bonne nuit !
Salut !!
on va maintenant réessayer smitfraudfix...
Option 1 - Recherche :
télécharge smitfraudfix et enregistre le sur le bureau à cette adresse (c est le numéro 2 en bas de la page) :
https://www.androidworld.fr/
Ensuite double clique sur smitfraudfix puis exécuter
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
copier/coller le rapport dans la réponse.
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
on va maintenant réessayer smitfraudfix...
Option 1 - Recherche :
télécharge smitfraudfix et enregistre le sur le bureau à cette adresse (c est le numéro 2 en bas de la page) :
https://www.androidworld.fr/
Ensuite double clique sur smitfraudfix puis exécuter
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
copier/coller le rapport dans la réponse.
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
