GregetLau
Messages postés5Date d'inscriptionlundi 6 octobre 2008StatutMembreDernière intervention 7 octobre 2008
-
6 oct. 2008 à 11:46
jlpjlp
Messages postés51574Date d'inscriptionvendredi 18 mai 2007StatutContributeur sécuritéDernière intervention 3 mai 2022
-
7 oct. 2008 à 14:16
Bonjour à tous,
Je viens ici pour avoir un peu d'aide. J'ai un virus sur mon pc qui est détecté par certains anti-virus mais jamais sous le même nom sauf par spybot qui me trouve "smitfraud-C.MSVPS dans la base de registre, Vitumonde idem, virtumonde.dll et Zlobdownloads.
Le soucis c'estq ue lorsque je les suppriment en mode sans échec et après avoir supprimé tout virus avec McAfee, Kapersky, Avast et avoir nettoyé la base de registre avec Ccleaner, quand je relance le PC en mode normal il semble se réinstaller et notamment dans le dossier Temp de App data.
Donc en gros les effets sont les suivants: Spybot Sd m'envoie un message toutes les 5 minutes et surtout au démarrage en me disant:
"System stratup user entry
valeur ajoutée
e4ad19ed
rundll32.cx: Appdata\local\temp\wnbiruln.dll"
Puis quand je ne suis pas connecté au net il tente de se connecter car un message apparait me disant travailler hors connexion ou se connecter.
Enfin, quand je suis sur le net il va sur une page où un soit disant anti-virus essaie de faire un scan....
Donc si quelqu'un pouvait m'aider à m'en débarrasser proprement je dois avouer que ça m'arrangerait bien!
Comme j'ai vu que les experts demandais un rapport HijackThis voici ce que dit le rapport que je viens de faire.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:36, on 02/10/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal
J'ai aussi un autre rapport si ça peut aider:
<AVZ_CollectSysInfo>
--------------------
Start time: 03/10/2008 15:11:44
Duration: 00:02:36
Finish time: 03/10/2008 15:14:20
<AVZ_CollectSysInfo>
--------------------
Time Event
---- -----
03/10/2008 15:11:48 Windows version: Windows Vista (TM) Home Premium, Build=6001, SP="Service Pack 1"
03/10/2008 15:11:48 System Restore: enabled
03/10/2008 15:11:48 System booted in Safe Mode
03/10/2008 15:11:50 1.1 Searching for user-mode API hooks
03/10/2008 15:11:51 Analysis: kernel32.dll, export table found in section .text
03/10/2008 15:11:51 Function kernel32.dll:CreateProcessA (151) intercepted, method ProcAddressHijack.GetProcAddress ->773F1C36->61F03F42
03/10/2008 15:11:51 Hook kernel32.dll:CreateProcessA (151) blocked
03/10/2008 15:11:51 Function kernel32.dll:CreateProcessW (154) intercepted, method ProcAddressHijack.GetProcAddress ->773F1C01->61F04040
03/10/2008 15:11:51 Hook kernel32.dll:CreateProcessW (154) blocked
03/10/2008 15:11:51 Function kernel32.dll:FreeLibrary (335) intercepted, method ProcAddressHijack.GetProcAddress ->774308F8->61F041FC
03/10/2008 15:11:51 Hook kernel32.dll:FreeLibrary (335) blocked
03/10/2008 15:11:51 Function kernel32.dll:GetModuleFileNameA (503) intercepted, method ProcAddressHijack.GetProcAddress ->7743440D->61F040FB
03/10/2008 15:11:51 Hook kernel32.dll:GetModuleFileNameA (503) blocked
03/10/2008 15:11:51 Function kernel32.dll:GetModuleFileNameW (504) intercepted, method ProcAddressHijack.GetProcAddress ->774358E5->61F041A0
03/10/2008 15:11:51 Hook kernel32.dll:GetModuleFileNameW (504) blocked
03/10/2008 15:11:51 Function kernel32.dll:GetProcAddress (548) intercepted, method ProcAddressHijack.GetProcAddress ->7743B8B6->61F04648
03/10/2008 15:11:51 Hook kernel32.dll:GetProcAddress (548) blocked
03/10/2008 15:11:51 Function kernel32.dll:LoadLibraryA (759) intercepted, method ProcAddressHijack.GetProcAddress ->77419491->61F03C6F
03/10/2008 15:11:51 Hook kernel32.dll:LoadLibraryA (759) blocked
03/10/2008 15:11:51 >>> Functions LoadLibraryA - preventing AVZ process from being intercepted by address replacement !!)
03/10/2008 15:11:51 Function kernel32.dll:LoadLibraryExA (760) intercepted, method ProcAddressHijack.GetProcAddress ->77419469->61F03DAF
03/10/2008 15:11:51 Hook kernel32.dll:LoadLibraryExA (760) blocked
03/10/2008 15:11:51 >>> Functions LoadLibraryExA - preventing AVZ process from being intercepted by address replacement !!)
03/10/2008 15:11:51 Function kernel32.dll:LoadLibraryExW (761) intercepted, method ProcAddressHijack.GetProcAddress ->774130C3->61F03E5A
03/10/2008 15:11:51 Hook kernel32.dll:LoadLibraryExW (761) blocked
03/10/2008 15:11:51 Function kernel32.dll:LoadLibraryW (762) intercepted, method ProcAddressHijack.GetProcAddress ->7741361F->61F03D0C
03/10/2008 15:11:51 Hook kernel32.dll:LoadLibraryW (762) blocked
03/10/2008 15:11:51 IAT modification detected: GetModuleFileNameW - 00BC0010<>774358E5
03/10/2008 15:11:51 Analysis: ntdll.dll, export table found in section .text
03/10/2008 15:11:52 Analysis: user32.dll, export table found in section .text
03/10/2008 15:11:52 Analysis: advapi32.dll, export table found in section .text
03/10/2008 15:11:52 Analysis: ws2_32.dll, export table found in section .text
03/10/2008 15:11:52 Analysis: wininet.dll, export table found in section .text
03/10/2008 15:11:53 Analysis: rasapi32.dll, export table found in section .text
03/10/2008 15:11:53 Analysis: urlmon.dll, export table found in section .text
03/10/2008 15:11:54 Analysis: netapi32.dll, export table found in section .text
03/10/2008 15:11:55 1.2 Searching for kernel-mode API hooks
03/10/2008 15:11:55 Error loading driver - scan interrupted [C000035F]
03/10/2008 15:11:56 1.4 Searching for masking processes and drivers
03/10/2008 15:11:56 Checking not performed: extended monitoring driver (AVZPM) is not installed
03/10/2008 15:11:56 Error loading driver - scan interrupted [C000035F]
03/10/2008 15:12:02 C:\Program Files\Protector Suite QL\farchns.dll --> Suspicion for Keylogger or Trojan DLL
03/10/2008 15:12:02 C:\Program Files\Protector Suite QL\farchns.dll>>> Behavioral analysis
03/10/2008 15:12:02 Behaviour typical for keyloggers not detected
03/10/2008 15:12:02 C:\Program Files\Protector Suite QL\infra.dll --> Suspicion for Keylogger or Trojan DLL
03/10/2008 15:12:02 C:\Program Files\Protector Suite QL\infra.dll>>> Behavioral analysis
03/10/2008 15:12:02 Behaviour typical for keyloggers not detected
03/10/2008 15:12:05 Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
03/10/2008 15:12:15 Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL"
03/10/2008 15:12:16 >> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
03/10/2008 15:12:16 >> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
03/10/2008 15:12:16 >> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
03/10/2008 15:12:16 > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
03/10/2008 15:12:16 >> Security: disk drives' autorun is enabled
03/10/2008 15:12:16 >> Security: administrative shares (C$, D$ ...) are enabled
03/10/2008 15:12:16 >> Security: anonymous user access is enabled
03/10/2008 15:12:16 >> Security: sending Remote Assistant queries is enabled
03/10/2008 15:12:19 >> Disable HDD autorun
03/10/2008 15:12:19 >> Disable autorun from network drives
03/10/2008 15:12:20 >> Disable CD/DVD autorun
03/10/2008 15:12:20 >> Disable removable media autorun
03/10/2008 15:12:20 System Analysis in progress
03/10/2008 15:14:20 System Analysis - complete
03/10/2008 15:14:20 Delete file:C:\Users\Grégory\Desktop\Kaspersky Lab Tool\is-FR5DS\LOG\avptool_syscheck.htm
03/10/2008 15:14:20 Delete file:C:\Users\Grégory\Desktop\Kaspersky Lab Tool\is-FR5DS\LOG\avptool_syscheck.xml
03/10/2008 15:14:20 Deleting service/driver: uti4nzi1
03/10/2008 15:14:20 Delete file:C:\Windows\system32\Drivers\uti4nzi1.sys
03/10/2008 15:14:20 Deleting service/driver: uji4nzi1
03/10/2008 15:14:20 Script executed without errors
Merci mille fois pour celui ou celle qui voudra bien m'aider à exploser ce virus!
GregetLau
Messages postés5Date d'inscriptionlundi 6 octobre 2008StatutMembreDernière intervention 7 octobre 2008 6 oct. 2008 à 12:16
Merci mais j'ai téléchargé smitfraud et je n'arrive pas à le lancer il me dit qu'il manque un fichier et que je dois unzipper les fichiers dans un dossier mais je n'ai aps de fichier.Zip...
GregetLau
Messages postés5Date d'inscriptionlundi 6 octobre 2008StatutMembreDernière intervention 7 octobre 2008 6 oct. 2008 à 12:54
Alors j'ai finalement réussi à passer smitfraudfix. J'ai fais les étapes 1 2 et 3. Mais quand je relance le PC j'ai le message suivant qui s'affiche:
"Erreur de chargement
c:\user\...\cbXoEwWp.dll
module spécifié introuvable"
D'ailleurs quand j'ai lancé smitfraudfix en mode sans échec j'ai eu un message d'erreur au milieu du scan et de la phase 2 qui s'inscrivait dans la fenetre qui disait en gris que certains fichiers ne pouvaient etre accessibles car utilisés par una autre application ou quelque chose comme ca.
Comment savoir si je suis toujours virusé?
eloise2
Messages postés61Date d'inscriptionmercredi 9 avril 2008StatutMembreDernière intervention10 novembre 2016 6 oct. 2008 à 13:13
bonjour, le plus simple et j'en parle en connaissance de cause va sur :
http://.commentcamarche.net/forum/message 207571 mon site et mon forum perso
a bientôt
Vous n’avez pas trouvé la réponse que vous recherchez ?