Virus Alert!" malware : encore et toujours...
cyrilv
-
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
Mon pc est infecté par ce virus qui prétend donner accès à des solutions antivirus. Je viens de lancer SmitFraudFix et je préfère vous donner le rapport avant de rebooter en mode sans echecs :
SmitFraudFix v2.352
Rapport fait à 1:59:34,82, 17/09/2008
Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\mqgldfvo.exe PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\1.ico PRESENT !
C:\WINDOWS\system32\2.ico PRESENT !
C:\WINDOWS\system32\MicroAV.cpl PRESENT !
C:\WINDOWS\system32\YUR?.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\AntiSpywareExpert PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris
C:\DOCUME~1\Admin\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\Admin\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\Admin\Favoris\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
C:\DOCUME~1\Admin\Bureau\BEST ZOO PORN.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\altcmd\ PRESENT !
C:\Program Files\AntiSpywareExpert\ PRESENT !
C:\Program Files\PCHealthCenter\ PRESENT !
C:\Program Files\VAV\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
[!] Suspicious: altcmd32.dll
BHO: BhoApp Class - {2A8D06B4-1B40-009F-E531-629A59080F43}
TypeLib: {A8954909-1F0F-41A5-A7FA-3B376D69E226}
Interface: {967A494A-6AEC-4555-9CAF-FA6EB00ACF91}
Interface: {9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
VersionIndependentProgID: hzfeL1.BhoApp
ProgID: hzfeL1.BhoApp.1
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: vmgspntbqvm.dll
BHO: QXK Olive - {06FB19CB-2B74-40ED-9A1C-A05052A9C0E3}
TypeLib: {CBA6C427-803A-41BD-A661-C26A64082918}
Interface: {152FEAB5-0821-4AEA-8FFC-8412137FCDEE}
Interface: {922E138D-F546-4828-88E3-7EF529E3666F}
[!] Suspicious: fqbewlna.dll
Toolbar: fqbewlna - {A3AC6E80-6FAE-4B5C-9901-488A75685383}
TypeLib: {76D81415-4D4C-4826-A1C9-141B9C6C9921}
Interface: {78C06489-6449-475B-980F-3E126E7F2B36}
Classe: fqbewlna.bfxp
Classe: fqbewlna.ToolBar.1
[!] Suspicious: dtseqrxk.dll
SSODL: dtseqrxk - {AA89039C-BBE6-48A0-8CB7-8BABBC630C36}
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wowfx.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Merci beaucoup pour votre aide!
Mon pc est infecté par ce virus qui prétend donner accès à des solutions antivirus. Je viens de lancer SmitFraudFix et je préfère vous donner le rapport avant de rebooter en mode sans echecs :
SmitFraudFix v2.352
Rapport fait à 1:59:34,82, 17/09/2008
Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\mqgldfvo.exe PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\1.ico PRESENT !
C:\WINDOWS\system32\2.ico PRESENT !
C:\WINDOWS\system32\MicroAV.cpl PRESENT !
C:\WINDOWS\system32\YUR?.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\AntiSpywareExpert PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris
C:\DOCUME~1\Admin\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\Admin\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\Admin\Favoris\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
C:\DOCUME~1\Admin\Bureau\BEST ZOO PORN.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\Admin\Bureau\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\altcmd\ PRESENT !
C:\Program Files\AntiSpywareExpert\ PRESENT !
C:\Program Files\PCHealthCenter\ PRESENT !
C:\Program Files\VAV\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
[!] Suspicious: altcmd32.dll
BHO: BhoApp Class - {2A8D06B4-1B40-009F-E531-629A59080F43}
TypeLib: {A8954909-1F0F-41A5-A7FA-3B376D69E226}
Interface: {967A494A-6AEC-4555-9CAF-FA6EB00ACF91}
Interface: {9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
VersionIndependentProgID: hzfeL1.BhoApp
ProgID: hzfeL1.BhoApp.1
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: vmgspntbqvm.dll
BHO: QXK Olive - {06FB19CB-2B74-40ED-9A1C-A05052A9C0E3}
TypeLib: {CBA6C427-803A-41BD-A661-C26A64082918}
Interface: {152FEAB5-0821-4AEA-8FFC-8412137FCDEE}
Interface: {922E138D-F546-4828-88E3-7EF529E3666F}
[!] Suspicious: fqbewlna.dll
Toolbar: fqbewlna - {A3AC6E80-6FAE-4B5C-9901-488A75685383}
TypeLib: {76D81415-4D4C-4826-A1C9-141B9C6C9921}
Interface: {78C06489-6449-475B-980F-3E126E7F2B36}
Classe: fqbewlna.bfxp
Classe: fqbewlna.ToolBar.1
[!] Suspicious: dtseqrxk.dll
SSODL: dtseqrxk - {AA89039C-BBE6-48A0-8CB7-8BABBC630C36}
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wowfx.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6C33A8EE-C0F6-4EFA-8744-6FB40B67ECC1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Merci beaucoup pour votre aide!
A voir également:
- Virus Alert!" malware : encore et toujours...
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Tokyvideo virus ✓ - Forum TV & Vidéo
- Win64 malware gen - Forum Virus
- Artemis virus - Forum Virus
2 réponses
Salut !!
Option 2 - Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter rapidement la touche F8 au démarrage du pc pour obtenir le menu des options avancées).
Double cliquer sur smitfraudfix
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Enregistre le rapport sur ton bureau
Redémarrer en mode normal et poster le rapport.
Option 2 - Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter rapidement la touche F8 au démarrage du pc pour obtenir le menu des options avancées).
Double cliquer sur smitfraudfix
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Enregistre le rapport sur ton bureau
Redémarrer en mode normal et poster le rapport.
ensuite :
Télécharger sur le bureau malwarebytes à cette adresse :
https://www.androidworld.fr/
Voici un tuto pour bien l installer et bien l utiliser :
https://www.androidworld.fr/
aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé
Après l analyse, redémarrer le pc et poste le rapport !!
ensuite :
Fais un rapport hijackthis pour que je puisses vérifier les infections de ton pc stp
Télécharge hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :
https://www.androidworld.fr/
Comment copier/coller le rapport :
Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".
ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.
Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :
https://www.androidworld.fr/
Télécharger sur le bureau malwarebytes à cette adresse :
https://www.androidworld.fr/
Voici un tuto pour bien l installer et bien l utiliser :
https://www.androidworld.fr/
aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé
Après l analyse, redémarrer le pc et poste le rapport !!
ensuite :
Fais un rapport hijackthis pour que je puisses vérifier les infections de ton pc stp
Télécharge hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :
https://www.androidworld.fr/
Comment copier/coller le rapport :
Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".
ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.
Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :
https://www.androidworld.fr/
