Virus...log smitfraudfix

man92 -  
chimay8 Messages postés 7947 Statut Contributeur sécurité -
Bonjour,
jai un virus qui me bloque mon pc
ni hijackthis ni l'antivirus ni adware l'ont trouvé !
je poste donc mon log de smitfraudfix:

SmitFraudFix v2.354

Rapport fait à 16:56:38,28, 28/09/2008
Executé à partir de C:\Documents and Settings\Patrick\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Patrick\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tdssservers.dat détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssadw.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssinit.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssl.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdsslog.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssmain.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\drivers\tdssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrick


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrick\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Patrick\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{73B73C38-652C-4287-9451-DBBA679E9FCA}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CEA00701-B4C2-4DF2-B6A7-F8EF425A3239}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{73B73C38-652C-4287-9451-DBBA679E9FCA}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{73B73C38-652C-4287-9451-DBBA679E9FCA}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
A voir également:

37 réponses

Précédent
  • 1
  • 2
Réponse 21 / 37
man92
 
nan pas du tout...
0
Réponse 22 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
ok,

fais ceci

Telecharge FindyKill

Fais un clic droit sur le lien, enregister sous .....sur le bureau

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Dezippe le sur le bureau

Entre dans le dossier FindyKill

double clic sur FindyKill.exe

choisi l option 1 (recherche)

un rapport va s ouvrir, post le dans ta prochaine réponse stp

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0
Réponse 23 / 37
man92
 
----------------- FindyKill V3.095 ------------------

* User : Patrick - 120194920318
* Emplacement : C:\Program Files\FindyKill\FindyKill.cmd
* Outils Mis a jours le 29/09/08 par Chiquitine29
* Recherche effectuée à 21:18:51 le 29/09/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\Patrick\LOCALS~1\Temp


»»»» Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ehTray REG_SZ C:\WINDOWS\ehome\ehtray.exe
High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe
RTHDCPL REG_SZ RTHDCPL.EXE
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
ACTIVBOARD REG_SZ c:\apps\ABoard\ABoard.exe
LVCOMSX REG_SZ C:\WINDOWS\system32\LVCOMSX.EXE
LogitechVideoRepair REG_SZ C:\Program Files\Logitech\Video\ISStart.exe
LogitechVideoTray REG_SZ C:\Program Files\Logitech\Video\LogiTray.exe
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
VadeRetro Desktop REG_SZ C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
AppleSyncNotifier REG_SZ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background



»»»» Presence d infections dans Support amovible :




----------------- ! Fin du rapport ! ------------------
0
Réponse 24 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
ha,zut
il voit pas l'autorun

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau: http://sosvirus.changelog.fr/MSNFix.zip le tuto pour t'aider
https://www.malekal.com/supprimer-virus-desinfecter-pc/ de malekal_morte
ou
http://sosvirus.changelog.fr/

Décompresse-le (clique droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat.
- Exécute l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
sorry,
j'ai oublier ceci
si tu as des clés ou un DD externe branche les et recommence Findykill

Entre dans le dossier FindyKill

double clic sur FindyKill.exe

choisi l option 1 (recherche)

un rapport va s ouvrir, post le dans ta prochaine réponse stp

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0
Réponse 26 / 37
man92
 
j'ai lancé MSNFix, ce qui ma donné "recherche presente" puis l'ecran rouge et j'ai donc redemarré mais rien ne s'est lancé au demarrage du bureau
j'ai donc refait MSNFix et obtenu "recherche absente"
0
Réponse 27 / 37
man92
 
pas de clé ni de dd externe
0
Réponse 28 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
ah?
pourtant combofix détecte ceci

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d7d5a2d-557d-11dd-8712-00038a000015}]
\Shell\AutoRun\command - I:\memorybar.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b057d7c9-69f8-11dc-850a-00173f62f443}]
\Shell\AutoRun\command - I:\Autorun.exe

sur le I:

Télécharge sur ton bureau GenProc de Narco4 & jean-chretien1

Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat

Une fois qu'il a finit son analyse fait un copier/coller du log qui vient de s'ouvrir dans Bloc-note
Poste le ici

Aide en images
0
Réponse 29 / 37
man92
 
Je le lance et il affiche "Il manque un ou plusieurs fichiers necessaires au fonctionnement du proqgramme"
ce qui me force a quitter
0
Réponse 30 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
Télécharger ATF Cleaner par Atribune.
http://www.atribune.org/ccount/click.php?id=1
Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)

Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
Clique Exit, du menu principal, afin de fermer le programme.
0
Réponse 31 / 37
man92
 
c'est bon, 27 Mo libérés
0
Réponse 32 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
comment tourne ton pc?
0
Réponse 33 / 37
man92
 
tres bien, je te remercie pour ton aide
0
Réponse 34 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
alors termine par ceci stp

Menu Démarrer>Exécuter>
tape ComboFix /u

Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok

puis poste résolu stp,merci
0
Réponse 35 / 37
man92
 
[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\fixnavi.txt: trouvé !
C:\*.msnfix: trouvé !
C:\Combofix: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Patrick\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Patrick\Bureau\Msnfix.zip: trouvé !
C:\Documents and Settings\Patrick\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\Patrick\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Patrick\Bureau\MsnFix: trouvé !
C:\Documents and Settings\Patrick\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Patrick\Bureau\GenProc: trouvé !
C:\Documents and Settings\Patrick\Bureau\MSNFix\MsnFix: trouvé !
C:\Documents and Settings\Patrick\Recent\MSNFix.lnk: trouvé !
C:\Documents and Settings\Patrick\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Patrick\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Patrick\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Patrick\Bureau\Msnfix.zip: supprimé !
C:\Documents and Settings\Patrick\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\Patrick\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\Patrick\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Patrick\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Patrick\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Patrick\Recent\MSNFix.lnk: supprimé !
C:\Documents and Settings\Patrick\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Patrick\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Combofix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Patrick\Bureau\MsnFix: supprimé !
C:\Documents and Settings\Patrick\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Patrick\Bureau\GenProc: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
Réponse 36 / 37
man92
 
résolu
0
Réponse 37 / 37
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
non,
en tout début du premier poste,il est marqué statut
tu cliques sur résolu
bon surf
@+
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Utilisateur anonyme -

3 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses