Problème avec wowfx.dll , virus ?
benenenexil
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Un popup apparait regulierement sur mon PC : L'application ou la DLL C:\windows\system32\wowfx.dll n'est pas une image Windows valide. Vérifier à l'aide de votre disquette d'installation.
J ai lu un peu sur ce sujet sur le forum.
Il s'agit apparament d'un virus.
Je vous post donc le rapport de smitfraudFix
Merci pour votre aide.
Ben
SmitFraudFix v2.349
Rapport fait à 9:00:00,54, 13/09/2008
Executé à partir de C:\Documents and Settings\anelor\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Elantech\ktp.exe
C:\Program Files\Arcade\PCMService.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Documents and Settings\anelor\Local Settings\Temp\yodm-3d-crystalxp.net-fr-1250\Yodm3D.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\anelor
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\anelor\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\anelor\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\altcmd\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wowfx.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetLink (TM) Gigabit Ethernet
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Un popup apparait regulierement sur mon PC : L'application ou la DLL C:\windows\system32\wowfx.dll n'est pas une image Windows valide. Vérifier à l'aide de votre disquette d'installation.
J ai lu un peu sur ce sujet sur le forum.
Il s'agit apparament d'un virus.
Je vous post donc le rapport de smitfraudFix
Merci pour votre aide.
Ben
SmitFraudFix v2.349
Rapport fait à 9:00:00,54, 13/09/2008
Executé à partir de C:\Documents and Settings\anelor\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Elantech\ktp.exe
C:\Program Files\Arcade\PCMService.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Documents and Settings\anelor\Local Settings\Temp\yodm-3d-crystalxp.net-fr-1250\Yodm3D.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\anelor
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\anelor\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\anelor\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\altcmd\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wowfx.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Broadcom NetLink (TM) Gigabit Ethernet
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
A voir également:
- Problème avec wowfx.dll , virus ?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
12 réponses
rapport_nettoyage_sans_echec.txt
SmitFraudFix v2.349
Rapport fait à 11:06:50,09, 14/09/2008
Executé à partir de C:\Documents and Settings\anelor\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
RAPPORT Nav Log1
Search Navipromo version 3.6.5 commencé le 14/09/2008 à 11:26:05,64
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "anelor"
Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\menud+~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\anelor\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\anelor\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 14/09/2008 à 11:29:58,01 ***
SmitFraudFix v2.349
Rapport fait à 11:06:50,09, 14/09/2008
Executé à partir de C:\Documents and Settings\anelor\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6D4E9DD-A41B-4BDF-973A-C6D8ADD052C6}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
RAPPORT Nav Log1
Search Navipromo version 3.6.5 commencé le 14/09/2008 à 11:26:05,64
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "anelor"
Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\anelor\menud+~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\anelor\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\anelor\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 14/09/2008 à 11:29:58,01 ***
Bonjour,
Ces rapports sont anormaux !!
En premier lieu le rapport option 2 de SmitfraudFix qui devait montrer la suppression de celui-ci :
C:\Program Files\altcmd\ PRESENT !
Il y a dû avoir des actions intermédiaires.
Je ne sais plus que faire.
Termine avec cette application: ScanOnline chez Bitdefender :
Clique sur un de ces 2 liens: < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
•- Sauvegarde le rapport comme ceci:
Clic sur "Fichier" --> "Enregistrer sous..." --> choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html) ==> soit "rapport BitD.html"
• > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
) ==> le rapport de scan se trouverait également ici : C:\windows\bdoscan8\scanres.txt ou scanres.html
Bon dimanche
À plus tard
Al.
Ces rapports sont anormaux !!
En premier lieu le rapport option 2 de SmitfraudFix qui devait montrer la suppression de celui-ci :
C:\Program Files\altcmd\ PRESENT !
Il y a dû avoir des actions intermédiaires.
Je ne sais plus que faire.
Termine avec cette application: ScanOnline chez Bitdefender :
Clique sur un de ces 2 liens: < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
•- Sauvegarde le rapport comme ceci:
Clic sur "Fichier" --> "Enregistrer sous..." --> choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html) ==> soit "rapport BitD.html"
• > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
) ==> le rapport de scan se trouverait également ici : C:\windows\bdoscan8\scanres.txt ou scanres.html
Bon dimanche
À plus tard
Al.
Merci,
je m 'en sui finalement sorti.
J'ai installer "Avira Antivir", il a trouvé 4 Trojan.
Je les ai effacé de mon disque dur et et la registry manuellement.
J'ai aussi effacé wowfx.dll.
J'ai refait un scan, il ne trouve plus rien.
Tout "semble" etre rentré dans l'ordre.
Cepdant j'ai 3 sous repertoires caché sous "C:\System Volume Information" :
C:\System Volume Information\_restore
C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
C:\System Volume Information\_restore{AA524491-A201-40E8-ACA8-724D8AAC5896}
Question : Si je m'engage a ne plus vouloir restaurer mon systeme (je ferai un reformatage si besoin), est ce que je peux effacer ces repertoires ? c 'est une niche a virus a mon avis .... c 'est la que je les ai effacés
il y a plein de sous repertoires et de fichier DLL et exe
merci.
ben
je m 'en sui finalement sorti.
J'ai installer "Avira Antivir", il a trouvé 4 Trojan.
Je les ai effacé de mon disque dur et et la registry manuellement.
J'ai aussi effacé wowfx.dll.
J'ai refait un scan, il ne trouve plus rien.
Tout "semble" etre rentré dans l'ordre.
Cepdant j'ai 3 sous repertoires caché sous "C:\System Volume Information" :
C:\System Volume Information\_restore
C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
C:\System Volume Information\_restore{AA524491-A201-40E8-ACA8-724D8AAC5896}
Question : Si je m'engage a ne plus vouloir restaurer mon systeme (je ferai un reformatage si besoin), est ce que je peux effacer ces repertoires ? c 'est une niche a virus a mon avis .... c 'est la que je les ai effacés
il y a plein de sous repertoires et de fichier DLL et exe
merci.
ben
Merci, J'ai procédé tel que demandé.
Cependant il reste les 2 repertoires :
C:\System Volume Information\_restore
C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
J'ai renouvelé l'opération mais rien n'y fait.
Puis je effacer manuellement les 2 derniers repertoires manuellement ?
merci
ben
Cependant il reste les 2 repertoires :
C:\System Volume Information\_restore
C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
J'ai renouvelé l'opération mais rien n'y fait.
Puis je effacer manuellement les 2 derniers repertoires manuellement ?
merci
ben
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Parfait, donc tout est parti.
Pour ce premier C:\System Volume Information\_restore
==> mon PC est sous Windows XP-Pro, et je n'ai pas ça.
-C:\System Volume Information est, par définition, là où les points de restauration sont stockés.
-Or, certaines infections ont la particularité d’atteindre ce System Volume Information.
-Chaque "reboot" du PC crée un nouveau point de restauration -- > donc, tu en trouveras toujours !
-C’est d’ailleurs pourquoi certaines manipulations (comme FixWareout par exemple, qui nécessite un redémarrage de PC) suggèrent la désactivation de la restauration système (afin que l’infection ne puisse « migrer » en même temps que la restauration système automatiquement due au redémarrage du PC).
-Ce n'est pas toi qui gères tes points de restaurations mais c'est Windows et c'est là le problème !
-Si tu crées toi-même ton point de restauration il pourra toujours être effacé un jour par Windows, car il n'aura plus assez de place pour mettre ceux qu'il crée automatiquement (l'espace de stockage de ces points de restauration étant limité en taille).
-Démarrer le pc avec la dernière bonne configuration revient au même que d'utiliser le dernier point de restauration. (Tu ne pourras pas choisir un point en particulier).
-La restauration a été créée pour revenir en arrière si l'utilisateur rencontre un problème inattendu.
-Cependant les helpers n'utiliseront quasiment jamais cette restauration qui n'est pas réellement efficace.
-On préfèrera l'utilisation de SFC, la réparation du système, ou la console de récupération dans certains cas.
Par contre, pour ce second C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
==> il est tout à fait normal et propre à ton PC.
Les chiffres entre les accolades (GUID) sont différents pour chaque système.
Tu retrouves ce GUID en C:\WINDOWS\system32\Restore dans le fichier MachineGuid.txt
Encore, les fichiers sauvegardés lors de la création d'un point de restauration sont référencés dans le fichier Filelist.xml du répertoire C:\WINDOWS\system32\Restore.
Bonne chance
Al.
Parfait, donc tout est parti.
Pour ce premier C:\System Volume Information\_restore
==> mon PC est sous Windows XP-Pro, et je n'ai pas ça.
-C:\System Volume Information est, par définition, là où les points de restauration sont stockés.
-Or, certaines infections ont la particularité d’atteindre ce System Volume Information.
-Chaque "reboot" du PC crée un nouveau point de restauration -- > donc, tu en trouveras toujours !
-C’est d’ailleurs pourquoi certaines manipulations (comme FixWareout par exemple, qui nécessite un redémarrage de PC) suggèrent la désactivation de la restauration système (afin que l’infection ne puisse « migrer » en même temps que la restauration système automatiquement due au redémarrage du PC).
-Ce n'est pas toi qui gères tes points de restaurations mais c'est Windows et c'est là le problème !
-Si tu crées toi-même ton point de restauration il pourra toujours être effacé un jour par Windows, car il n'aura plus assez de place pour mettre ceux qu'il crée automatiquement (l'espace de stockage de ces points de restauration étant limité en taille).
-Démarrer le pc avec la dernière bonne configuration revient au même que d'utiliser le dernier point de restauration. (Tu ne pourras pas choisir un point en particulier).
-La restauration a été créée pour revenir en arrière si l'utilisateur rencontre un problème inattendu.
-Cependant les helpers n'utiliseront quasiment jamais cette restauration qui n'est pas réellement efficace.
-On préfèrera l'utilisation de SFC, la réparation du système, ou la console de récupération dans certains cas.
Par contre, pour ce second C:\System Volume Information\_restore{45922131-2635-408C-8E5D-1B9BA077702D}
==> il est tout à fait normal et propre à ton PC.
Les chiffres entre les accolades (GUID) sont différents pour chaque système.
Tu retrouves ce GUID en C:\WINDOWS\system32\Restore dans le fichier MachineGuid.txt
Encore, les fichiers sauvegardés lors de la création d'un point de restauration sont référencés dans le fichier Filelist.xml du répertoire C:\WINDOWS\system32\Restore.
Bonne chance
Al.
Bonjour
A)- OK
Passe l'option 2 en mode sans échec
Poste le rapport final
B)- Ensuite, supprime SmitfraudFix.
C)- Clic-droit sur ce lien :
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.
Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
Al
A)- OK
Passe l'option 2 en mode sans échec
Poste le rapport final
B)- Ensuite, supprime SmitfraudFix.
C)- Clic-droit sur ce lien :
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.
Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
Al
Re,
Fais ceci
Désactive ta restauration système
Clic sur « Démarrer »
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]
Arrêter puis redémarrer le PC
Ensuite réactive ta restauration système
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer], attendre, terminer par [OK]
et dis-moi si tu trouves encore tant de fichiers dans C:\System Volume Information
Al
Fais ceci
Désactive ta restauration système
Clic sur « Démarrer »
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]
Arrêter puis redémarrer le PC
Ensuite réactive ta restauration système
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer], attendre, terminer par [OK]
et dis-moi si tu trouves encore tant de fichiers dans C:\System Volume Information
Al
