Probleme de faux antivirus Fermé

Question

Bonjour,
Je vien de rencontré un probleme jai rencontrer un virus celui ci mouvre des page de faux antivirus jen ai en masse pouvait vour maider a les envlever car la je vous ecris en mode sans echec avec prise resau .je me suis un peu renseigner et voila mon rapport Hyjack merci davance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:25, on 10/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\uwhF.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\uesiuqcr.exe,
O3 - Toolbar: olnmraew - {6366459B-45A6-489C-9726-429617BB05C2} - C:\WINDOWS\olnmraew.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32s32net.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [\YUR2E.exe] C:\Windows\system32\YUR2E.exe
O4 - HKLM\..\Run: [\YUR2F.exe] C:\Windows\system32\YUR2F.exe
O4 - HKLM\..\Run: [\YUR30.exe] C:\Windows\system32\YUR30.exe
O4 - HKLM\..\Run: [\YUR31.exe] C:\Windows\system32\YUR31.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Program Files\MicroAntivirus\microAV.exe
O4 - HKLM\..\Run: [\YUR3F.exe] C:\Windows\system32\YUR3F.exe
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKLM\..\Run: [\YUR7.exe] C:\Windows\system32\YUR7.exe
O4 - HKLM\..\Run: [\YUR8.exe] C:\Windows\system32\YUR8.exe
O4 - HKLM\..\Run: [\YUR2A.exe] C:\Windows\system32\YUR2A.exe
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOCUME~1\Didier\LOCALS~1\Temp\winlogen.exe
O4 - HKLM\..\Run: [c8aa7a2c] rundll32.exe "C:\WINDOWS\system32\iufxuypc.dll",b
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [lphc59uj0ela5] C:\WINDOWS\system32\lphc59uj0ela5.exe
O4 - HKLM\..\Run: [inrhc19uj0ela5] C:\WINDOWS\Temp\.ttF.tmp.exe /CR=BF41E8B2D96ED8F141145E40F597DD53006392BFC112FD143B8A2A590078D5A814817924E03F9F625E8F3574568D291DAE6D7EEFF4C6EE65835E76764E44E73F5B490F642E1624123457134145D0629002F942D71B6479
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [\YUR18.exe] C:\Windows\system32\YUR18.exe
O4 - HKLM\..\Run: [\YUR19.exe] C:\Windows\system32\YUR19.exe
O4 - HKLM\..\Run: [\YUR1A.exe] C:\Windows\system32\YUR1A.exe
O4 - HKLM\..\Run: [\YUR1E.exe] C:\Windows\system32\YUR1E.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKLM\..\Policies\Explorer\Run: [U6lTKTi8tS] C:\Documents and Settings\All Users\Application Data\qpojqlox\mjslcbgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O21 - SSODL: aplcom - {02C122A0-8F5E-3473-4609-005F5868B7E3} - C:\Program Files\cngeuo\aplcom.dll
O21 - SSODL: qmafxprs - {07F6EA7C-560B-4B82-8B61-F9FF12570CBD} - C:\WINDOWS\qmafxprs.dll
O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsd72hf4t.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

nico-81 · Answer

alors oulalalala : 
supprime manuellement ceci : 
C:\WINDOWS\TEMP\uwhF.tmp

puis fix çà avec hijackthis : 
O3 - Toolbar: olnmraew - {6366459B-45A6-489C-9726-429617BB05C2} - C:\WINDOWS\olnmraew.dll
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689­220221DD3257
O4 - HKLM\..\Run: [\YUR2E.exe] C:\Windows\system32\YUR2E.exeO4 - HKLM\..\Run: [\YUR2F.exe] C:\Windows\system32\YUR2F.exe
O4 - HKLM\..\Run: [\YUR30.exe] C:\Windows\system32\YUR30.exe
O4 - HKLM\..\Run: [\YUR31.exe] C:\Windows\system32\YUR31.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Program Files\MicroAntivirus\microAV.exe
O4 - HKLM\..\Run: [\YUR3F.exe] C:\Windows\system32\YUR3F.exe
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKLM\..\Run: [\YUR7.exe] C:\Windows\system32\YUR7.exe
O4 - HKLM\..\Run: [\YUR8.exe] C:\Windows\system32\YUR8.exe
O4 - HKLM\..\Run: [\YUR2A.exe] C:\Windows\system32\YUR2A.exe
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOCUME~1\Didier\LOCALS~1\Temp\winlogen.exe
O4 - HKLM\..\Run: [c8aa7a2c] rundll32.exe "C:\WINDOWS\system32\iufxuypc.dll",b
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [lphc59uj0ela5] C:\WINDOWS\system32\lphc59uj0ela5.exe
O4 - HKLM\..\Run: [inrhc19uj0ela5] C:\WINDOWS\Temp\.ttF.tmp.exe /CR=BF41E8B2D96ED8F141145E40F597DD53006392BFC112FD143B8A2A590078D5A814817924E03F 9F625E8F3574568D291DAE6D7EEFF4C6EE65835E76764E44E73F5B490F642E1624123457134145D0 629002F942D71B6479
O4 - HKLM\..\Run: [\YUR18.exe] C:\Windows\system32\YUR18.exe
O4 - HKLM\..\Run: [\YUR19.exe] C:\Windows\system32\YUR19.exe
O4 - HKLM\..\Run: [\YUR1A.exe] C:\Windows\system32\YUR1A.exe
O4 - HKLM\..\Run: [\YUR1E.exe] C:\Windows\system32\YUR1E.exe
O4 - HKLM\..\Policies\Explorer\Run: [U6lTKTi8tS] C:\Documents and Settings\All Users\Application Data\qpojqlox\mjslcbgr.exe
O20 - AppInit_DLLs: karna.dat
O21 - SSODL: aplcom - {02C122A0-8F5E-3473-4609-005F5868B7E3} - C:\Program Files\cngeuo\aplcom.dll
O21 - SSODL: qmafxprs - {07F6EA7C-560B-4B82-8B61-F9FF12570CBD} - C:\WINDOWS\qmafxprs.dll
O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsd72hf4t.dll


:PP ben arrête le porno et émule xD

ensuite on va tout défoncer xD : 
télécharge ça, met le à jour, démarre en mode sans echec, fait un scan COMPLET de ton ordi en selectionnant tout les disque aussi et ben supprime tout a la fin ^^:
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

Fais un gros long scan avec antivir aussi et puis ben bonne route ;)

Kyoshine · Answer

Merci mais voila jai un autre prob la je suis en mode sans echec avec prise de resau et lorsque je tente de leffacer me met qua jai laccé refuser pour quoi pasqe si je demare windos normalement bha je ne peut acceder a rien a par qui ya un gros fond decran spyware detect merci davance

Kyoshine · Answer

Mais la je fait quand meme lanalyse malwarebyte sans avoir effacer C:\WINDOWS\TEMP\uwhF.tmp  pasqe je narive pas a le dellete

ep44 · Answer

Bonsoir 

nico-81 crois tu que ce soit aussi facile ??????

Kyoshine,plusieurs infections sur ton PC 
commence par ceci stp


Télécharge sur le Bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe
=> Double clic sur SmitfraudFix.zip
=> Extraire tout
=> Double clic sur SmitfraudFix
=> Double Clic sur SmitfraudFix.cmd
=> Choisir Option 1
=> poste le rapport
@+

Darkx2609 · Answer

merci ep44 pour ton aide voila ton analyse 

SmitFraudFix v2.358

Rapport fait à 21:58:11,46, 10/10/2008
Executé à partir de C:\Documents and Settings\Didier\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Samsung\EmoDio\SMSTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\efytkbsh.exe
C:\DOCUME~1\Didier\LOCALS~1\Temp\a.exe
C:\DOCUME~1\Didier\LOCALS~1\Temp\d.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Warhammer Online - Age of Reckoning\WAR.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Didier


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Didier\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\Didier\MENUDM~1\PROGRA~1\Smart Antivirus 2009 PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Didier\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ep44 · Answer

ok

Redémarre l'ordinateur en mode sans échec
(tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/

* Double clique sur smitfraudfix.cmd

* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !


ensuite

Télécharge LOP S&D d'Eric71 ici https://sites.google.com/site/eric71mespages/lop.sd.fr

Double-clique dessus pour lancer l'installation.
Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau.
Séléctionne la langue souhaitée , puis choisis l'Option 1 ( Recherche )
Patiente jusqu'à la fin du scan.
Poste le rapport généré (situé aussi ici C:\lopR.txt )

( Si le Bureau ne réapparaît pas, lance le gestionnaire des tâches en cliquant sur Ctrl + Alt + Suppr , puis Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide )

Darkx2609 · Answer

Tien voila ton analyse mais le fond decran na pas disparu T_T 

SmitFraudFix v2.358

Rapport fait à 22:23:35,10, 10/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FCF6182E-B4EE-4E92-9911-8472F7B20BA0}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Darkx2609 · Answer

Maintenen jai dautre fenetre danti virus qui revienne et jai toujour larriere plan

ep44 · Answer

fait ce que je t'ai demandé !

Darkx2609 · Answer

Okok  ^^ mais jai fait  3 fois letape 2 mais toujour rien la je fait la recherche de lop s&d

Darkx2609 · Answer

tien voila le rapport,

   --------------------\  Lop S&D 4.2.4-5   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2180  @ 2.00GHz )
   BIOS : BIOS Date: 10/30/07 20:44:12 Ver: 08.00.12
   USER : Didier ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
   C:\ (Local Disk) - NTFS - Total : 149 Go Free : 119 Go
   D:\ (CD or DVD)
   E:\ (USB)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)

   "C:\Lop SD" ( MAJ : 02-10-2008|23:42 )
   Option : [1] ( 10/10/2008|22:54 )
 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [10/10/2008|19:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
   [10/10/2008|19:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
   [10/10/2008|21:25] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
   [10/10/2008|19:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
   [10/10/2008|19:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla

   [10/10/2008|19:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
   [08/10/2008|15:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ESET
   [10/10/2008|18:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
   [10/10/2008|21:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
   [08/10/2008|21:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [10/10/2008|21:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\qpojqlox
   [06/10/2008|06:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype

   [04/10/2008|13:20] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [05/10/2008|06:30] C:\DOCUME~1\Didier\APPLIC~1\.#
   [10/10/2008|21:44] C:\DOCUME~1\Didier\APPLIC~1\Adobe
   [06/10/2008|06:11] C:\DOCUME~1\Didier\APPLIC~1\DataCast
   [06/10/2008|20:38] C:\DOCUME~1\Didier\APPLIC~1\gtk-2.0
   [04/10/2008|13:30] C:\DOCUME~1\Didier\APPLIC~1\Identities
   [04/10/2008|16:48] C:\DOCUME~1\Didier\APPLIC~1\Macromedia
   [10/10/2008|21:46] C:\DOCUME~1\Didier\APPLIC~1\Malwarebytes
   [04/10/2008|16:52] C:\DOCUME~1\Didier\APPLIC~1\Microsoft
   [04/10/2008|16:39] C:\DOCUME~1\Didier\APPLIC~1\Mozilla
   [08/10/2008|16:20] C:\DOCUME~1\Didier\APPLIC~1\SecondLife
   [10/10/2008|22:30] C:\DOCUME~1\Didier\APPLIC~1\Skype
   [10/10/2008|22:29] C:\DOCUME~1\Didier\APPLIC~1\skypePM
   [10/10/2008|21:44] C:\DOCUME~1\Didier\APPLIC~1\sp2
   [08/10/2008|21:58] C:\DOCUME~1\Didier\APPLIC~1\uTorrent
   [04/10/2008|19:14] C:\DOCUME~1\Didier\APPLIC~1\vlc
   [06/10/2008|06:42] C:\DOCUME~1\Didier\APPLIC~1\WinRAR

   [04/10/2008|13:29] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [04/10/2008|13:24] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [10/10/2008 22:26][--ah-----] C:\WINDOWS	asks\SA.DAT
   [02/03/2006 14:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [04/10/2008|13:35] C:\Program Files\Attansic
   [04/10/2008|22:37] C:\Program Files\Audacity
   [10/10/2008|19:56] C:\Program Files\Avira
   [10/10/2008|18:56] C:\Program Files\cngeuo
   [04/10/2008|13:17] C:\Program Files\ComPlus Applications
   [10/10/2008|19:24] C:\Program Files\EA GAMES
   [10/10/2008|19:21] C:\Program Files\eMule
   [08/10/2008|15:43] C:\Program Files\ESET
   [06/10/2008|06:34] C:\Program Files\Fichiers communs
   [06/10/2008|09:37] C:\Program Files\Gimp-2.0
   [04/10/2008|18:23] C:\Program Files\Google
   [04/10/2008|22:46] C:\Program Files\InstallShield Installation Information
   [04/10/2008|13:32] C:\Program Files\Intel
   [05/10/2008|22:54] C:\Program Files\Internet Explorer
   [08/10/2008|13:34] C:\Program Files\Kaneva
   [10/10/2008|21:25] C:\Program Files\Malwarebytes' Anti-Malware
   [04/10/2008|22:46] C:\Program Files\MarkAny
   [05/10/2008|22:54] C:\Program Files\Messenger
   [04/10/2008|13:21] C:\Program Files\microsoft frontpage
   [04/10/2008|13:18] C:\Program Files\Movie Maker
   [10/10/2008|22:36] C:\Program Files\Mozilla Firefox
   [04/10/2008|22:35] C:\Program Files\MP3Gain
   [04/10/2008|13:16] C:\Program Files\MSN
   [04/10/2008|13:17] C:\Program Files\MSN Gaming Zone
   [04/10/2008|16:48] C:\Program Files\MSN Messenger
   [05/10/2008|22:53] C:\Program Files\MSXML 4.0
   [04/10/2008|13:18] C:\Program Files\NetMeeting
   [04/10/2008|13:17] C:\Program Files\Online Services
   [04/10/2008|13:18] C:\Program Files\Outlook Express
   [06/10/2008|14:43] C:\Program Files\PhotoFiltre
   [06/10/2008|20:44] C:\Program Files\PhotoFiltre Studio
   [04/10/2008|13:33] C:\Program Files\Realtek
   [06/10/2008|06:10] C:\Program Files\Samsung
   [07/10/2008|18:33] C:\Program Files\SecondLife
   [04/10/2008|13:19] C:\Program Files\Services en ligne
   [10/10/2008|20:13] C:\Program Files\Skype
   [10/10/2008|19:35] C:\Program Files\Trend Micro
   [04/10/2008|13:30] C:\Program Files\Uninstall Information
   [05/10/2008|17:12] C:\Program Files\uTorrent
   [04/10/2008|19:10] C:\Program Files\VideoLAN
   [04/10/2008|13:20] C:\Program Files\Windows Media Player
   [04/10/2008|13:17] C:\Program Files\Windows NT
   [04/10/2008|13:19] C:\Program Files\WindowsUpdate
   [06/10/2008|06:40] C:\Program Files\WinRAR
   [04/10/2008|13:21] C:\Program Files\xerox

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [04/10/2008|13:32] C:\Program Files\Fichiers communs\InstallShield
   [08/10/2008|13:14] C:\Program Files\Fichiers communs\Microsoft Shared
   [04/10/2008|13:18] C:\Program Files\Fichiers communs\MSSoap
   [04/10/2008|21:04] C:\Program Files\Fichiers communs\ODBC
   [04/10/2008|13:18] C:\Program Files\Fichiers communs\Services
   [06/10/2008|06:34] C:\Program Files\Fichiers communs\Skype
   [04/10/2008|21:04] C:\Program Files\Fichiers communs\SpeechEngines
   [04/10/2008|16:37] C:\Program Files\Fichiers communs\SWF Studio
   [04/10/2008|13:18] C:\Program Files\Fichiers communs\System

   --------------------\  Process

   ( 32 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\DOCUME~1\Didier\LOCALS~1\Temp
sf10.tmp
   C:\DOCUME~1\Didier\LOCALS~1\Temp
si45.tmp
   C:\DOCUME~1\Didier\LOCALS~1\Temp
spF.tmp
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-10-10 22:55:49
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   C:\WINDOWS\System32\svchost.exe:ext.exe 25088 bytes executable
   scan completed successfully
   hidden processes: 0
   hidden files: 62
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKLM\..\ControlSet001\Services	dssserv]
   Rootkit Tibs ! .. [HKLM\..\ControlSet001\Enum\Root	dssserv]

   --------------------\  ROGUES ..

   C:\DOCUME~1\Didier\MENUDM~1\PROGRA~1\Smart Antivirus 2009

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Didier\Application Data\uTorrent\Sims 2 Free Time NoCD crack.torrent
   C:\DOCUME~1\Didier\Mes documents\Downloads\Sims 2 Free Time NoCD crack
   C:\DOCUME~1\Didier\Mes documents\Downloads\Sims 2 Free Time NoCD crack\INFO.txt
   C:\DOCUME~1\Didier\Mes documents\Downloads\Sims 2 Free Time NoCD crack\Sims2EP7.exe
   C:\DOCUME~1\Didier\Mes documents\Mes fichiers re‡us\NOD32_-_V_3.0.642___Crack.rar
   C:\DOCUME~1\Didier\Recent\NOD32_-_V_3.0.642___Crack.lnk
   C:\DOCUME~1\Didier\Recent\Sims 2 Free Time NoCD crack.lnk


   [F:217][D:34]-> C:\DOCUME~1\Didier\LOCALS~1\Temp
   [F:14][D:0]-> C:\DOCUME~1\Didier\Cookies
   [F:97][D:8]-> C:\DOCUME~1\Didier\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 10/10/2008|22:53 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 10/10/2008|22:57 - Option : [1]

   --------------------\  Fin du rapport a 22:57:23

nico-81 · Answer

ep44 j'ai pas dit que j'avais fini -_.._-

Darkx2609 · Answer

svp help me ^^ pasqe je ne cest toujour pas quoi fare et jai fais tgous les raport

nico-81 · Answer

ben si tu veux commencer lis mon post mais après si t'es partis dans ceux des autres, c'est comme tu veux ;)

ep44 · Answer

Bonjour à vous deux 

Nico81  si je me suis permis l'intervention c'est que ton poste 1 ne sert pas à grand chose.
Tu fait fixer des lignes sans savoir apparemment de quel infection il s'agit.
Pense tu qu'une infection lop s'éradique seulement en fixant et un passage de Malwarebytes 
et si c'est le cas tu te trompe
Pense que tu que des outils comme smitfraudfix ne sont pas plus approprié, regarde bien le rapport de smitfraudfix et tu verras certaine chose intéressante.


Darkx2609, relance Lop SD en option 2 stp, ensuite 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Déconnecte toi d'internet et ferme toutes tes applications.

* Désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,

* Double-clic sur combofix.exe, il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.

* /!\ Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne /!\

* Attends que Combofix ait terminé, un rapport sera créé.

* réactive ton parefeu, ton antivirus, la garde de ton antispyware

* copie/colle le rapport, le rapport se trouve dans : C:Combofix.txt

* Réactive tes protections en temps réel, Antivirus, Antispywares, avant de te reconnecter à internet.

nico-81 · Answer

oui malewarebytes élimine les infection lop en 1 passage si on fait bien le scan en mode sans échec.

ep44 · Answer

Donc Malwarebytes est l'outil à toutes les situation 
Merci pour l'info

nico-81 · Answer

Je n'ai jamais dis ça.
J'ai jamais dis qu'il supprimer tout o_0, j'entends par tout virus, spyware, maleware, hijack etc

ep44 · Answer

Quest-ce qu'un malwares ???????

http://www.swl1f.net/viewtopic.php?f=29&t=144

nico-81 · Answer

et alors ?

ep44 · Answer

et alors ???

apprend avant d'intervenir !

nico-81 · Answer

mais que dit ton message donc ton avis personnel ? (sauf si tu fais copier coller partout)

tribal · Answer

ben ouai mais bon c est pas en saturant les forums de rapport hijackthis d'une page de long qu'on avance....

a chaque fois c 'est le meme cinema,"Mr. smart" s'amene dis : fait moi ,ci,ca,ci la moitie des etapes sont certes conseillées,mais inutiles... et puis tout le monde est largué,le forum floodé en 2 jours et le virus prospére ...pépére...

souvent y a quatre clés a supprimer dans le registre,ou un outil specifique a lancer et c 'est fini, mais non....de plus que pour les "vrais" virus y a pas grand monde pour aider..

parceque maintenant quand tu cherche le nom d 'un virus tu tombes sur les rapports hijackthis,et non plus sur le virus.
ca fait bouclier..trop d'information tue l'information.

Probleme de faux antivirus

23 réponses

Discussions similaires