Encore virusresponse2009 ....

enaoutan Messages postés 20 Statut Membre -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,

Hier soir j'ai été attaqué par ce truc : virusresponse2009. J'ai dû télécharger et executer un setup.exe qu'il fallait pas :(
Depuis j'ai un System alert (c'est dans la barre des icônes en bas à droite) toutes les 5mns qui me dit que j'ai trop de spyware (en gros) et malgré un lavage complet avec Spybot je suis encore infesté, j'en suis sûr.

J'ai donc téléchargé Malwarebytes dont voici le rapport après annalyse et suppression des fichiers corrompus:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1262
Windows 5.1.2600 Service Pack 2

13/10/2008 14:05:52
mbam-log-2008-10-13 (14-05-52).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 102943
Temps écoulé: 25 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{be1a344f-9ff5-4024-949b-52205e6db2d0} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{F5734812-E6A1-8833-ECA9-949B5B8A88BF} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{144a6b24-0ebc-4d89-bf09-a06a718e57b5} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be1a344f-9ff5-4024-949b-52205e6db2d0} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmeb351390 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\smile (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Applications\iebr.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Program Files\VirRL2009\VirRL2009.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\BMeb351390.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMeb351390.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Bureau\Antivirus Scan.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Bureau\Online Spyware Test.url (Rogue.Link) -> Quarantined and deleted successfully.

Voyant que le System Alert était encore là j'ai téléchargé Hijackthis, scanné les disks et voilà le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:00, on 13/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\o2flash.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sophie\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.wikipedia.org/wiki/Accueil
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BE1A344F-9FF5-4024-949B-52205E6DB2D0} - (no file)
O2 - BHO: (no name) - {C484A28A-3EA6-42B2-882A-4BDBF4A0971E} - C:\WINDOWS\system32\jkkKcdeC.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Satsuki Decoder Pack\filtres\qt\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O22 - SharedTaskScheduler: euphuize - {da75fab1-136e-4ead-834d-0e04fbd6edc1} - C:\WINDOWS\system32\eivrbsi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Rdpnmioaw - Sonic Solutions - C:\WINDOWS\system32\pxinsa64.exe

--
End of file - 7339 bytes

Voilà tout ce que j'ai pu faire jusqu'à maintenant.
Quelqu'un pourrait-il m'aider s'il vous plait?

Merci par avance

antoine
Configuration: Windows XP
Firefox 2.0.0.17

9 réponses

  1. enaoutan Messages postés 20 Statut Membre 2
     
    Salut,

    J'ai fait le SmitfraudFix comme tu me l'as dit (mode sans echec,...). Voici le rapport:

    J'ai écourté la liste »»»»»»»»»»»»»»»»»»»»»»» hosts
    127.0.0.1 localhost etc.... Car c'était beaucoup trop long.

    SmitFraudFix v2.359

    Rapport fait à 11:48:25,98, 14/10/2008
    Executé à partir de C:\Documents and Settings\Sophie\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{da75fab1-136e-4ead-834d-0e04fbd6edc1}"="euphuize"

    [HKEY_CLASSES_ROOT\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    127.0.0.1 123topsearch.com
    127.0.0.1 www.132.com
    127.0.0.1 132.com
    127.0.0.1 www.136136.net
    127.0.0.1 136136.net
    127.0.0.1 www.163ns.com
    127.0.0.1 www.alitaslia.it
    127.0.0.1 alitaslia.it
    127.0.0.1 www.alitlia.it
    127.0.0.1 alitlia.it
    127.0.0.1 www.alitralia.it
    127.0.0.1 alitralia.it
    127.0.0.1 www.alitsalia.it
    127.0.0.1 alitsalia.it
    127.0.0.1 www.aliutalia.it
    127.0.0.1 aliutalia.it
    127.0.0.1 www.all1count.net
    127.0.0.1 all1count.net
    127.0.0.1 www.all4internet.com
    127.0.0.1 all4internet.com
    127.0.0.1 allabtcars.com
    127.0.0.1 allabtjeeps.com
    127.0.0.1 www.all-bittorrent.com
    127.0.0.1 all-bittorrent.com
    127.0.0.1 www.allcollisions.com
    127.0.0.1 allcollisions.com
    127.0.0.1 www.allcybersearch.com
    127.0.0.1 allcybersearch.com
    127.0.0.1 www.alldiskscheck300.com
    127.0.0.1 alldiskscheck300.com
    127.0.0.1 www.alldnserrors.com
    127.0.0.1 alldnserrors.com
    127.0.0.1 www.all-downloads-now.com
    127.0.0.1 all-downloads-now.com
    127.0.0.1 www.all-edonkey.com
    127.0.0.1 all-edonkey.com
    127.0.0.1 www.allertaminacce.com
    127.0.0.1 allertaminacce.com
    127.0.0.1 allforadult.com
    127.0.0.1 allhyperlinks.com
    127.0.0.1 www.alliesecurity.com
    127.0.0.1 alliesecurity.com
    127.0.0.1 all-inet.com
    127.0.0.1 allinternetbusiness.com
    127.0.0.1 www.all-limewire.com
    127.0.0.1 all-limewire.com
    127.0.0.1 www.allmegabucks.com
    127.0.0.1 allmegabucks.com
    127.0.0.1 www.allprotections.com
    127.0.0.1 allprotections.com
    127.0.0.1 www.allresultz.net
    127.0.0.1 allresultz.net
    127.0.0.1 www.allsearch.us
    127.0.0.1 allsearch.us
    127.0.0.1 www.allsecuritynotes.com
    127.0.0.1 allsecuritynotes.com
    127.0.0.1 www.allsecuritysite.com
    127.0.0.1 allsecuritysite.com
    127.0.0.1 www.allstarsvideos.net
    127.0.0.1 allstarsvideos.net
    127.0.0.1 www.alltiettantivirus.com
    127.0.0.1 alltiettantivirus.com
    127.0.0.1 www.alltruesoftware.com
    127.0.0.1 alltruesoftware.com
    127.0.0.1 www.allvideoactivex.com
    127.0.0.1 allvideoactivex.com
    127.0.0.1 www.almanah.biz
    127.0.0.1 almanah.biz
    127.0.0.1 almarvideos.com
    127.0.0.1 www.aloitalia.it
    127.0.0.1 www.xorriere.it
    127.0.0.1 xorriere.it
    127.0.0.1 xosearchox.com
    127.0.0.1 www.xosearchox.com
    127.0.0.1 xp.attrezzi.biz
    127.0.0.1 xp18.com
    127.0.0.1 www.xpantiviruspro.com
    127.0.0.1 xpantiviruspro.com
    127.0.0.1 xpassgenerator.com
    127.0.0.1 www.xpassgenerator.com
    127.0.0.1 xpasswordmanager.com
    127.0.0.1 www.xpasswordmanager.com
    127.0.0.1 www.xponlinescanner.com
    127.0.0.1 xponlinescanner.com
    127.0.0.1 www.x-porngalleries.com
    127.0.0.1 x-porngalleries.com
    127.0.0.1 www.x-pornmoviez.com
    127.0.0.1 x-pornmoviez.com
    127.0.0.1 www.x-pornmovz.com
    127.0.0.1 x-pornmovz.com
    127.0.0.1 www.xp-protect-2008.com
    127.0.0.1 xp-protect-2008.com
    127.0.0.1 www.xprmn4u.info
    127.0.0.1 xprmn4u.info
    127.0.0.1 www.x-prnmoviez.com
    127.0.0.1 x-prnmoviez.com
    127.0.0.1 www.xpsecuritycenter.com
    127.0.0.1 xpsecuritycenter.com
    127.0.0.1 www.xp-shield.com
    127.0.0.1 xp-shield.com
    127.0.0.1 xp-vista.com
    127.0.0.1 www.xp-vista.com
    127.0.0.1 www.xp-vista-update.net
    127.0.0.1 xp-vista-update.net
    127.0.0.1 x-ratedclips.com
    127.0.0.1 www.x-ratedclips.com
    127.0.0.1 www.xrdenterprise.com
    127.0.0.1 xrdenterprise.com
    127.0.0.1 xrenoder.com
    127.0.0.1 www.xrenoder.com
    127.0.0.1 xrenosearch.com
    127.0.0.1 xrensmagpost.com
    127.0.0.1 xsec.org
    127.0.0.1 www.xsec.org
    127.0.0.1 xsex.ws
    127.0.0.1 xsremover.com
    127.0.0.1 www.xsremover.com
    127.0.0.1 xtipp.de
    127.0.0.1 www.xtipp.de
    127.0.0.1 www.xtosearch.biz
    127.0.0.1 xtosearch.biz
    127.0.0.1 xtragay.com
    127.0.0.1 www.xtravideos.com
    127.0.0.1 xtravideos.com
    127.0.0.1 xtremesoftware-ltd.com
    127.0.0.1 xu.pl
    127.0.0.1 xu.xu.pl
    127.0.0.1 www.xupiter.com
    127.0.0.1 xupiter.com
    127.0.0.1 xvgate.com
    127.0.0.1 www.xvgate.com
    127.0.0.1 www.xvidscollection.com
    127.0.0.1 xvidscollection.com
    127.0.0.1 www.xvsenterprise.com
    127.0.0.1 xvsenterprise.com
    127.0.0.1 www.x-webdesign.com
    127.0.0.1 x-webdesign.com
    127.0.0.1 xwebsearch.biz
    127.0.0.1 www.xwebsearch.biz
    127.0.0.1 www.xxlblog.info
    127.0.0.1 xxlblog.info
    127.0.0.1 www.xxx.com
    127.0.0.1 xxx.com
    127.0.0.1 xxxallvideo.com
    127.0.0.1 www.xxxallvideo.com
    127.0.0.1 xxxcategories.com
    127.0.0.1 xxxemailxxx.com
    127.0.0.1 xxxmovietour.com
    127.0.0.1 www.xxxmovietour.com
    127.0.0.1 www.xxxpornmovs.com
    127.0.0.1 xxxpornmovs.com
    127.0.0.1 xxxteenfilm.com
    127.0.0.1 www.xxxteenfilm.com
    127.0.0.1 xxxtoolbar.com
    127.0.0.1 xxxzonevideo.com
    127.0.0.1 www.xxxzonevideo.com
    127.0.0.1 xyk.txshi.com
    127.0.0.1 www.xyzlimited.com
    127.0.0.1 xyzlimited.com
    127.0.0.1 www.xyzsolution.com
    127.0.0.1 xyzsolution.com
    127.0.0.1 www.xyztogo.com
    127.0.0.1 xyztogo.com
    127.0.0.1 xzoomy.com
    127.0.0.1 yahabags.com
    127.0.0.1 www.yahabags.com
    127.0.0.1 yahoo.downloadznow.net
    127.0.0.1 yahoo.panet.org
    127.0.0.1 www.yboeragu.com
    127.0.0.1 yboeragu.com
    127.0.0.1 www.ydaproject.com
    127.0.0.1 ydaproject.com
    127.0.0.1 yeak.net
    127.0.0.1 y-e-l-l-o-w.com
    127.0.0.1 yellow500.com
    127.0.0.1 yezol.com
    127.0.0.1 www.ygcoueorn.com
    127.0.0.1 ygcoueorn.com
    127.0.0.1 www.ygcovtvcp.com
    127.0.0.1 ygcovtvcp.com
    127.0.0.1 www.ygoogle.it
    127.0.0.1 ygoogle.it
    127.0.0.1 ygsondheks.info
    127.0.0.1 www.ygsondheks.info
    127.0.0.1 yim-stop.com
    127.0.0.1 www.yim-stop.com
    127.0.0.1 www.yiscali.it
    127.0.0.1 yiscali.it
    127.0.0.1 www.ymctaaqada.com
    127.0.0.1 ymctaaqada.com
    127.0.0.1 www.ymct-aaqada.com
    127.0.0.1 ymct-aaqada.com
    127.0.0.1 www.ymctavxiz.biz
    127.0.0.1 ymctavxiz.biz
    127.0.0.1 www.ynotube.com
    127.0.0.1 ynotube.com
    127.0.0.1 yoogee.com
    127.0.0.1 www.yoogee.com
    127.0.0.1 www.yoogle.it
    127.0.0.1 yoogle.it
    127.0.0.1 yootube.info
    127.0.0.1 yops.biz
    127.0.0.1 www.yops.biz
    127.0.0.1 youfindall.com
    127.0.0.1 youfindall.net
    127.0.0.1 www.youlikehere.com
    127.0.0.1 youlikehere.com
    127.0.0.1 www.youniyouwo.com
    127.0.0.1 youniyouwo.com
    127.0.0.1 yourbookmarks.info
    127.0.0.1 yourbookmarks.ws
    127.0.0.1 www.yourchillyvids.com
    127.0.0.1 yourchillyvids.com
    127.0.0.1 yourcodec.com
    127.0.0.1 www.yourcodec.com
    127.0.0.1 yourieprotect.com
    127.0.0.1 www.yourieprotect.com
    127.0.0.1 youriesafety.com
    127.0.0.1 www.youriesafety.com
    127.0.0.1 youriesecure.com
    127.0.0.1 www.youriesecure.com
    127.0.0.1 www.yourphotozone.com
    127.0.0.1 yourphotozone.com
    127.0.0.1 your-prescriptions.net
    127.0.0.1 yoursearchspace.com
    127.0.0.1 www.yoursearchspace.com
    127.0.0.1 yoursitebar.com
    127.0.0.1 you-search.com
    127.0.0.1 you-search.com.ru
    127.0.0.1 ypir.com
    127.0.0.1 ysa-info.net
    127.0.0.1 ysbweb.com
    127.0.0.1 www.ysbweb.com
    127.0.0.1 www.ytiscali.it
    127.0.0.1 ytiscali.it
    127.0.0.1 www.ytrenitalia.it
    127.0.0.1 ytrenitalia.it
    127.0.0.1 yukohamano.com
    127.0.0.1 www.yunibo.it
    127.0.0.1 yunibo.it
    127.0.0.1 yurigamboa25.googlepages.com
    127.0.0.1 ywebsearch.info
    127.0.0.1 zabywjwzlr.biz.biz
    127.0.0.1 www.zabywjwzlr.biz.biz
    127.0.0.1 www.zalitalia.it
    127.0.0.1 zalitalia.it
    127.0.0.1 www.zangcodec.net
    127.0.0.1 zangcodec.net
    127.0.0.1 zangocash.com
    127.0.0.1 www.zangocash.com
    127.0.0.1 zapros.com
    127.0.0.1 zcodec.com
    127.0.0.1 www.zcodec.com
    127.0.0.1 zdrqmpad.com
    127.0.0.1 www.zdrqmpad.com
    127.0.0.1 zelaznyworld.com
    127.0.0.1 www.zelaznyworld.com
    127.0.0.1 zenotecnico.com
    127.0.0.1 www.zenotecnico.com
    127.0.0.1 zenotecnico2.com
    127.0.0.1 www.zenotecnico2.com
    127.0.0.1 zero.bestmanage.org
    127.0.0.1 zero.bestmanage0.org
    127.0.0.1 zero.bestmanage1.org
    127.0.0.1 zero.bestmanage2.org
    127.0.0.1 zero.bestmanage3.org
    127.0.0.1 zero.bestmanage4.org
    127.0.0.1 zero.bestmanage5.org
    127.0.0.1 zero.bestmanage6.org
    127.0.0.1 zero.bestmanage7.org
    127.0.0.1 zero.bestmanage8.org
    127.0.0.1 zero.bestmanage9.org
    127.0.0.1 zero.serverc.org
    127.0.0.1 zero.sisdotnet.com
    127.0.0.1 www.zerocodec.com
    127.0.0.1 zerocodec.com
    127.0.0.1 zero-codec.com
    127.0.0.1 www.zero-codec.com
    127.0.0.1 zesearch.com
    127.0.0.1 zestyfind.com
    127.0.0.1 www.zestyfind.com
    127.0.0.1 zfxaqzkevi.com
    127.0.0.1 www.zfxaqzkevi.com
    127.0.0.1 zhmbscwdgk.biz
    127.0.0.1 www.zhmbscwdgk.biz
    127.0.0.1 www.zinblog.com
    127.0.0.1 zinblog.com
    127.0.0.1 zipcodec.com
    127.0.0.1 www.zipcodec.com
    127.0.0.1 ziportal.com
    127.0.0.1 zipportal.com
    127.0.0.1 zippy-lookup.com
    127.0.0.1 www.zippy-lookup.com
    127.0.0.1 zjkjw.gov.cn
    127.0.0.1 www.zjkjw.gov.cn
    127.0.0.1 znext.com
    127.0.0.1 www.znext.com
    127.0.0.1 zonealarm-download-now.com
    127.0.0.1 www.zonealarm-download-now.com
    127.0.0.1 zonealarm-stop.com
    127.0.0.1 www.zonealarm-stop.com
    127.0.0.1 zone-media.com
    127.0.0.1 www.zone-media.com
    127.0.0.1 zoneoffreeporn.com
    127.0.0.1 zoofil.com
    127.0.0.1 zoomegasite.com
    127.0.0.1 www.zpwebsource.com
    127.0.0.1 zpwebsource.com
    127.0.0.1 www.zqavanjpn.biz
    127.0.0.1 zqavanjpn.biz
    127.0.0.1 z-quest.com
    127.0.0.1 www.z-quest.com
    127.0.0.1 www.zsupereva.it
    127.0.0.1 zsupereva.it
    127.0.0.1 www.zsvcompany.com
    127.0.0.1 zsvcompany.com
    127.0.0.1 www.zuoyouweinan.com
    127.0.0.1 zuoyouweinan.com
    127.0.0.1 zurrusco.com
    127.0.0.1 www.zurrusco.com
    127.0.0.1 zvimigdal.com
    127.0.0.1 www.zxcsolution.com
    127.0.0.1 zxcsolution.com
    127.0.0.1 zxlinks.com
    127.0.0.1 www.zxlinks.com
    127.0.0.1 zyban-zocor-levitra.com

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    C:\WINDOWS\system32\eivrbsi.dll -> Hoax.Win32.Renos.gen.p
    C:\WINDOWS\system32\eivrbsi.dll -> Deleted

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\Applications\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Ensuite j'ai lancé la recherche sur MalwareBytes (mode sans échec ayant fait la Màj avant, ....)
    et voila le rapport:


    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1267
    Windows 5.1.2600 Service Pack 2

    14/10/2008 12:30:47
    mbam-log-2008-10-14 (12-30-47).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 103290
    Temps écoulé: 25 minute(s), 35 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\virrlwarning.warningbho (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\virrlwarning.warningbho.1 (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{a81ebfd7-0fa3-41ec-b60d-6dae78b4d31a} (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be1a344f-9ff5-4024-949b-52205e6db2d0} (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\VirRL2009 (Rogue.AntiVirusLab) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\VirRL2009 (Rogue.AntiVirusLab) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{C61FBED0-C336-4C69-9F32-FE8BAC65B221}\RP211\A0031241.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.
    2
  2. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    - Enregistre-le sur le bureau

    - Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse stp.

    Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

    1
  3. enaoutan Messages postés 20 Statut Membre 2
     
    Salut,

    J'ai fait le SmitfraudFix comme tu me l'as dit (mode sans echec,...). Voici le rapport:

    J'ai écourté la liste »»»»»»»»»»»»»»»»»»»»»»» hosts
    127.0.0.1 localhost etc.... Car c'était beaucoup trop long.

    SmitFraudFix v2.359

    Rapport fait à 11:48:25,98, 14/10/2008
    Executé à partir de C:\Documents and Settings\Sophie\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{da75fab1-136e-4ead-834d-0e04fbd6edc1}"="euphuize"

    [HKEY_CLASSES_ROOT\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    127.0.0.1 123topsearch.com
    127.0.0.1 www.132.com
    127.0.0.1 132.com
    127.0.0.1 www.136136.net
    127.0.0.1 136136.net
    127.0.0.1 www.163ns.com
    127.0.0.1 www.alitaslia.it
    127.0.0.1 alitaslia.it
    127.0.0.1 www.alitlia.it
    127.0.0.1 alitlia.it
    127.0.0.1 www.alitralia.it
    127.0.0.1 alitralia.it
    127.0.0.1 www.alitsalia.it
    127.0.0.1 alitsalia.it
    127.0.0.1 www.aliutalia.it
    127.0.0.1 aliutalia.it
    127.0.0.1 www.all1count.net
    127.0.0.1 all1count.net
    127.0.0.1 www.all4internet.com
    127.0.0.1 all4internet.com
    127.0.0.1 allabtcars.com
    127.0.0.1 allabtjeeps.com
    127.0.0.1 www.all-bittorrent.com
    127.0.0.1 all-bittorrent.com
    127.0.0.1 www.allcollisions.com
    127.0.0.1 allcollisions.com
    127.0.0.1 www.allcybersearch.com
    127.0.0.1 allcybersearch.com
    127.0.0.1 www.alldiskscheck300.com
    127.0.0.1 alldiskscheck300.com
    127.0.0.1 www.alldnserrors.com
    127.0.0.1 alldnserrors.com
    127.0.0.1 www.all-downloads-now.com
    127.0.0.1 all-downloads-now.com
    127.0.0.1 www.all-edonkey.com
    127.0.0.1 all-edonkey.com
    127.0.0.1 www.allertaminacce.com
    127.0.0.1 allertaminacce.com
    127.0.0.1 allforadult.com
    127.0.0.1 allhyperlinks.com
    127.0.0.1 www.alliesecurity.com
    127.0.0.1 alliesecurity.com
    127.0.0.1 all-inet.com
    127.0.0.1 allinternetbusiness.com
    127.0.0.1 www.all-limewire.com
    127.0.0.1 all-limewire.com
    127.0.0.1 www.allmegabucks.com
    127.0.0.1 allmegabucks.com
    127.0.0.1 www.allprotections.com
    127.0.0.1 allprotections.com
    127.0.0.1 www.allresultz.net
    127.0.0.1 allresultz.net
    127.0.0.1 www.allsearch.us
    127.0.0.1 allsearch.us
    127.0.0.1 www.allsecuritynotes.com
    127.0.0.1 allsecuritynotes.com
    127.0.0.1 www.allsecuritysite.com
    127.0.0.1 allsecuritysite.com
    127.0.0.1 www.allstarsvideos.net
    127.0.0.1 allstarsvideos.net
    127.0.0.1 www.alltiettantivirus.com
    127.0.0.1 alltiettantivirus.com
    127.0.0.1 www.alltruesoftware.com
    127.0.0.1 alltruesoftware.com
    127.0.0.1 www.allvideoactivex.com
    127.0.0.1 allvideoactivex.com
    127.0.0.1 www.almanah.biz
    127.0.0.1 almanah.biz
    127.0.0.1 almarvideos.com
    127.0.0.1 www.aloitalia.it
    127.0.0.1 www.xorriere.it
    127.0.0.1 xorriere.it
    127.0.0.1 xosearchox.com
    127.0.0.1 www.xosearchox.com
    127.0.0.1 xp.attrezzi.biz
    127.0.0.1 xp18.com
    127.0.0.1 www.xpantiviruspro.com
    127.0.0.1 xpantiviruspro.com
    127.0.0.1 xpassgenerator.com
    127.0.0.1 www.xpassgenerator.com
    127.0.0.1 xpasswordmanager.com
    127.0.0.1 www.xpasswordmanager.com
    127.0.0.1 www.xponlinescanner.com
    127.0.0.1 xponlinescanner.com
    127.0.0.1 www.x-porngalleries.com
    127.0.0.1 x-porngalleries.com
    127.0.0.1 www.x-pornmoviez.com
    127.0.0.1 x-pornmoviez.com
    127.0.0.1 www.x-pornmovz.com
    127.0.0.1 x-pornmovz.com
    127.0.0.1 www.xp-protect-2008.com
    127.0.0.1 xp-protect-2008.com
    127.0.0.1 www.xprmn4u.info
    127.0.0.1 xprmn4u.info
    127.0.0.1 www.x-prnmoviez.com
    127.0.0.1 x-prnmoviez.com
    127.0.0.1 www.xpsecuritycenter.com
    127.0.0.1 xpsecuritycenter.com
    127.0.0.1 www.xp-shield.com
    127.0.0.1 xp-shield.com
    127.0.0.1 xp-vista.com
    127.0.0.1 www.xp-vista.com
    127.0.0.1 www.xp-vista-update.net
    127.0.0.1 xp-vista-update.net
    127.0.0.1 x-ratedclips.com
    127.0.0.1 www.x-ratedclips.com
    127.0.0.1 www.xrdenterprise.com
    127.0.0.1 xrdenterprise.com
    127.0.0.1 xrenoder.com
    127.0.0.1 www.xrenoder.com
    127.0.0.1 xrenosearch.com
    127.0.0.1 xrensmagpost.com
    127.0.0.1 xsec.org
    127.0.0.1 www.xsec.org
    127.0.0.1 xsex.ws
    127.0.0.1 xsremover.com
    127.0.0.1 www.xsremover.com
    127.0.0.1 xtipp.de
    127.0.0.1 www.xtipp.de
    127.0.0.1 www.xtosearch.biz
    127.0.0.1 xtosearch.biz
    127.0.0.1 xtragay.com
    127.0.0.1 www.xtravideos.com
    127.0.0.1 xtravideos.com
    127.0.0.1 xtremesoftware-ltd.com
    127.0.0.1 xu.pl
    127.0.0.1 xu.xu.pl
    127.0.0.1 www.xupiter.com
    127.0.0.1 xupiter.com
    127.0.0.1 xvgate.com
    127.0.0.1 www.xvgate.com
    127.0.0.1 www.xvidscollection.com
    127.0.0.1 xvidscollection.com
    127.0.0.1 www.xvsenterprise.com
    127.0.0.1 xvsenterprise.com
    127.0.0.1 www.x-webdesign.com
    127.0.0.1 x-webdesign.com
    127.0.0.1 xwebsearch.biz
    127.0.0.1 www.xwebsearch.biz
    127.0.0.1 www.xxlblog.info
    127.0.0.1 xxlblog.info
    127.0.0.1 www.xxx.com
    127.0.0.1 xxx.com
    127.0.0.1 xxxallvideo.com
    127.0.0.1 www.xxxallvideo.com
    127.0.0.1 xxxcategories.com
    127.0.0.1 xxxemailxxx.com
    127.0.0.1 xxxmovietour.com
    127.0.0.1 www.xxxmovietour.com
    127.0.0.1 www.xxxpornmovs.com
    127.0.0.1 xxxpornmovs.com
    127.0.0.1 xxxteenfilm.com
    127.0.0.1 www.xxxteenfilm.com
    127.0.0.1 xxxtoolbar.com
    127.0.0.1 xxxzonevideo.com
    127.0.0.1 www.xxxzonevideo.com
    127.0.0.1 xyk.txshi.com
    127.0.0.1 www.xyzlimited.com
    127.0.0.1 xyzlimited.com
    127.0.0.1 www.xyzsolution.com
    127.0.0.1 xyzsolution.com
    127.0.0.1 www.xyztogo.com
    127.0.0.1 xyztogo.com
    127.0.0.1 xzoomy.com
    127.0.0.1 yahabags.com
    127.0.0.1 www.yahabags.com
    127.0.0.1 yahoo.downloadznow.net
    127.0.0.1 yahoo.panet.org
    127.0.0.1 www.yboeragu.com
    127.0.0.1 yboeragu.com
    127.0.0.1 www.ydaproject.com
    127.0.0.1 ydaproject.com
    127.0.0.1 yeak.net
    127.0.0.1 y-e-l-l-o-w.com
    127.0.0.1 yellow500.com
    127.0.0.1 yezol.com
    127.0.0.1 www.ygcoueorn.com
    127.0.0.1 ygcoueorn.com
    127.0.0.1 www.ygcovtvcp.com
    127.0.0.1 ygcovtvcp.com
    127.0.0.1 www.ygoogle.it
    127.0.0.1 ygoogle.it
    127.0.0.1 ygsondheks.info
    127.0.0.1 www.ygsondheks.info
    127.0.0.1 yim-stop.com
    127.0.0.1 www.yim-stop.com
    127.0.0.1 www.yiscali.it
    127.0.0.1 yiscali.it
    127.0.0.1 www.ymctaaqada.com
    127.0.0.1 ymctaaqada.com
    127.0.0.1 www.ymct-aaqada.com
    127.0.0.1 ymct-aaqada.com
    127.0.0.1 www.ymctavxiz.biz
    127.0.0.1 ymctavxiz.biz
    127.0.0.1 www.ynotube.com
    127.0.0.1 ynotube.com
    127.0.0.1 yoogee.com
    127.0.0.1 www.yoogee.com
    127.0.0.1 www.yoogle.it
    127.0.0.1 yoogle.it
    127.0.0.1 yootube.info
    127.0.0.1 yops.biz
    127.0.0.1 www.yops.biz
    127.0.0.1 youfindall.com
    127.0.0.1 youfindall.net
    127.0.0.1 www.youlikehere.com
    127.0.0.1 youlikehere.com
    127.0.0.1 www.youniyouwo.com
    127.0.0.1 youniyouwo.com
    127.0.0.1 yourbookmarks.info
    127.0.0.1 yourbookmarks.ws
    127.0.0.1 www.yourchillyvids.com
    127.0.0.1 yourchillyvids.com
    127.0.0.1 yourcodec.com
    127.0.0.1 www.yourcodec.com
    127.0.0.1 yourieprotect.com
    127.0.0.1 www.yourieprotect.com
    127.0.0.1 youriesafety.com
    127.0.0.1 www.youriesafety.com
    127.0.0.1 youriesecure.com
    127.0.0.1 www.youriesecure.com
    127.0.0.1 www.yourphotozone.com
    127.0.0.1 yourphotozone.com
    127.0.0.1 your-prescriptions.net
    127.0.0.1 yoursearchspace.com
    127.0.0.1 www.yoursearchspace.com
    127.0.0.1 yoursitebar.com
    127.0.0.1 you-search.com
    127.0.0.1 you-search.com.ru
    127.0.0.1 ypir.com
    127.0.0.1 ysa-info.net
    127.0.0.1 ysbweb.com
    127.0.0.1 www.ysbweb.com
    127.0.0.1 www.ytiscali.it
    127.0.0.1 ytiscali.it
    127.0.0.1 www.ytrenitalia.it
    127.0.0.1 ytrenitalia.it
    127.0.0.1 yukohamano.com
    127.0.0.1 www.yunibo.it
    127.0.0.1 yunibo.it
    127.0.0.1 yurigamboa25.googlepages.com
    127.0.0.1 ywebsearch.info
    127.0.0.1 zabywjwzlr.biz.biz
    127.0.0.1 www.zabywjwzlr.biz.biz
    127.0.0.1 www.zalitalia.it
    127.0.0.1 zalitalia.it
    127.0.0.1 www.zangcodec.net
    127.0.0.1 zangcodec.net
    127.0.0.1 zangocash.com
    127.0.0.1 www.zangocash.com
    127.0.0.1 zapros.com
    127.0.0.1 zcodec.com
    127.0.0.1 www.zcodec.com
    127.0.0.1 zdrqmpad.com
    127.0.0.1 www.zdrqmpad.com
    127.0.0.1 zelaznyworld.com
    127.0.0.1 www.zelaznyworld.com
    127.0.0.1 zenotecnico.com
    127.0.0.1 www.zenotecnico.com
    127.0.0.1 zenotecnico2.com
    127.0.0.1 www.zenotecnico2.com
    127.0.0.1 zero.bestmanage.org
    127.0.0.1 zero.bestmanage0.org
    127.0.0.1 zero.bestmanage1.org
    127.0.0.1 zero.bestmanage2.org
    127.0.0.1 zero.bestmanage3.org
    127.0.0.1 zero.bestmanage4.org
    127.0.0.1 zero.bestmanage5.org
    127.0.0.1 zero.bestmanage6.org
    127.0.0.1 zero.bestmanage7.org
    127.0.0.1 zero.bestmanage8.org
    127.0.0.1 zero.bestmanage9.org
    127.0.0.1 zero.serverc.org
    127.0.0.1 zero.sisdotnet.com
    127.0.0.1 www.zerocodec.com
    127.0.0.1 zerocodec.com
    127.0.0.1 zero-codec.com
    127.0.0.1 www.zero-codec.com
    127.0.0.1 zesearch.com
    127.0.0.1 zestyfind.com
    127.0.0.1 www.zestyfind.com
    127.0.0.1 zfxaqzkevi.com
    127.0.0.1 www.zfxaqzkevi.com
    127.0.0.1 zhmbscwdgk.biz
    127.0.0.1 www.zhmbscwdgk.biz
    127.0.0.1 www.zinblog.com
    127.0.0.1 zinblog.com
    127.0.0.1 zipcodec.com
    127.0.0.1 www.zipcodec.com
    127.0.0.1 ziportal.com
    127.0.0.1 zipportal.com
    127.0.0.1 zippy-lookup.com
    127.0.0.1 www.zippy-lookup.com
    127.0.0.1 zjkjw.gov.cn
    127.0.0.1 www.zjkjw.gov.cn
    127.0.0.1 znext.com
    127.0.0.1 www.znext.com
    127.0.0.1 zonealarm-download-now.com
    127.0.0.1 www.zonealarm-download-now.com
    127.0.0.1 zonealarm-stop.com
    127.0.0.1 www.zonealarm-stop.com
    127.0.0.1 zone-media.com
    127.0.0.1 www.zone-media.com
    127.0.0.1 zoneoffreeporn.com
    127.0.0.1 zoofil.com
    127.0.0.1 zoomegasite.com
    127.0.0.1 www.zpwebsource.com
    127.0.0.1 zpwebsource.com
    127.0.0.1 www.zqavanjpn.biz
    127.0.0.1 zqavanjpn.biz
    127.0.0.1 z-quest.com
    127.0.0.1 www.z-quest.com
    127.0.0.1 www.zsupereva.it
    127.0.0.1 zsupereva.it
    127.0.0.1 www.zsvcompany.com
    127.0.0.1 zsvcompany.com
    127.0.0.1 www.zuoyouweinan.com
    127.0.0.1 zuoyouweinan.com
    127.0.0.1 zurrusco.com
    127.0.0.1 www.zurrusco.com
    127.0.0.1 zvimigdal.com
    127.0.0.1 www.zxcsolution.com
    127.0.0.1 zxcsolution.com
    127.0.0.1 zxlinks.com
    127.0.0.1 www.zxlinks.com
    127.0.0.1 zyban-zocor-levitra.com

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    C:\WINDOWS\system32\eivrbsi.dll -> Hoax.Win32.Renos.gen.p
    C:\WINDOWS\system32\eivrbsi.dll -> Deleted

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\Applications\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Ensuite j'ai lancé la recherche sur MalwareBytes (mode sans échec ayant fait la Màj avant, ....)
    et voila le rapport:


    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1267
    Windows 5.1.2600 Service Pack 2

    14/10/2008 12:30:47
    mbam-log-2008-10-14 (12-30-47).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 103290
    Temps écoulé: 25 minute(s), 35 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\virrlwarning.warningbho (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\virrlwarning.warningbho.1 (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{a81ebfd7-0fa3-41ec-b60d-6dae78b4d31a} (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be1a344f-9ff5-4024-949b-52205e6db2d0} (Trojan.Zlob) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\VirRL2009 (Rogue.AntiVirusLab) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\VirRL2009 (Rogue.AntiVirusLab) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{C61FBED0-C336-4C69-9F32-FE8BAC65B221}\RP211\A0031241.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.

    Merci encore pour ton aide.

    antoine
    1
  4. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    1) Maintenant, démarre en mode sans échec :
    Pour cela, tu tapotes sur la touche F8 (F5 sur certains pc) dès le début de l’allumage du PC sans t’arrêter, avant l'apparition du logo Windows. Un menu va apparaitre, déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée. Choisis ta session habituelle, et ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal !

    Relance le programme SmitfraudFix.
    Cette fois, choisis l’option 2, répond oui à tous;
    A la fin, sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.

    2) Ensuite, lance MalwareBytes, mets le à jour puis referme le.

    Puis redémarre à nouveau en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

    Lance MBAM
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    - Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats
    - Coche tous les éléments détectés puis clique sur Supprimer la sélection
    - Enregistre le rapport
    - S'il t'est demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. enaoutan Messages postés 20 Statut Membre 2
     
    Merci beaucoup pour le coup de main.
    Et voilà le résultat de la recherche SmitFraud:

    SmitFraudFix v2.359

    Rapport fait à 1:50:54,37, 14/10/2008
    Executé à partir de C:\Documents and Settings\Sophie\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\o2flash.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\sm56hlpr.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sophie

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sophie\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Sophie\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Applications\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{da75fab1-136e-4ead-834d-0e04fbd6edc1}"="euphuize"

    [HKEY_CLASSES_ROOT\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1}\InProcServer32]
    @="C:\WINDOWS\system32\eivrbsi.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B1EDD61-1CBB-4CE0-B48C-76209D34A640}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    -1
  7. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    MalwareBytes t'a supprimé un rogue, et les deux logiciels ont détecté un trojan.
    Est-ce que le system alert a disparu ?

    Dans tous les cas, passe à ce qui suit :

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.

    • Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur une touche pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

    -1
  8. enaoutan Messages postés 20 Statut Membre 2
     
    Je ne suis pas sûr que le system alert soit disparu.
    J'ai fait comme tu me l'avais dit.

    Donc le rapport SDFix :

    [b]SDFix: Version 1.235 [/b]
    Run by Sophie on 15/10/2008 at 23:57

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\Documents and Settings\Sophie\Mes documents\My Documents.url - Deleted
    C:\Documents and Settings\Sophie\Mes documents\Ma musique\My Music.url - Deleted
    C:\Documents and Settings\Sophie\Mes documents\Mes images\My Pictures.url - Deleted
    C:\Documents and Settings\Sophie\Mes documents\Mes vid‚os\My Video.url - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-16 00:02:02
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
    "s1"=dword:2df9c43f
    "s2"=dword:110480d0
    "h0"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:68,10,51,0c,98,23,ed,d1,8d,14,6d,f3,65,e5,75,11,f9,be,1a,07,6e,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
    "h0"=dword:00000000
    "ujdew"=hex:68,10,51,0c,98,23,ed,d1,8d,14,6d,f3,65,e5,75,11,f9,be,1a,07,6e,..

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
    "C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Disabled:Veoh Client"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
    "C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe"="C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe:*:Enabled:Zuma"
    "C:\\Program Files\\Yahoo! Games\\Zuma Deluxe\\Zuma.exe"="C:\\Program Files\\Yahoo! Games\\Zuma Deluxe\\Zuma.exe:*:Enabled:Zuma"
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
    Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Wed 17 Sep 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Fri 27 Jun 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Fri 22 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT3.tmp"
    Thu 6 Mar 2008 4,348 ...H. --- "C:\Documents and Settings\Sophie\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
    Thu 8 May 2008 20 A..H. --- "C:\Documents and Settings\Sophie\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
    Sat 29 Mar 2008 400 ...H. --- "C:\Documents and Settings\Sophie\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
    Thu 8 May 2008 1,536 A..H. --- "C:\Documents and Settings\Sophie\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"

    [b]Finished![/b]

    Puis le rapport de Hijack:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:05:43, on 16/10/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\o2flash.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\sm56hlpr.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Sophie\Bureau\HiJackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.wikipedia.org/wiki/Accueil
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {BE1A344F-9FF5-4024-949B-52205E6DB2D0} - (no file)
    O2 - BHO: (no name) - {C484A28A-3EA6-42B2-882A-4BDBF4A0971E} - C:\WINDOWS\system32\jkkKcdeC.dll (file missing)
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Satsuki Decoder Pack\filtres\qt\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
    O23 - Service: Rdpnmioaw - Sonic Solutions - C:\WINDOWS\system32\pxinsa64.exe
    -1
  9. enaoutan Messages postés 20 Statut Membre 2
     
    Alors Anthony ou quelqu'un d'autre pourrait-il me dire si mon système est clear???

    Merci beaucoup en tout cas de vous occuper des gens en galère comme nous, démunis face à tous ces miasmes virtuels!
    -1
  10. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Salut

    Le rapport est propre. Pour être certain qu'il ne reste rien de caché :

    Fais un scan en ligne BitDefender (uniquement sous Internet Explorer) : https://www.bitdefender.com/toolbox/

    Poste le rapport complet ici quand ce sera terminé.

    Tutoriel pour t'aider : http://perso.orange.fr/rginformatique/section%20virus/defender.htm (Merci à Balltrap34 pour cette réalisation)

    S'il n'y a rien, je t'aiderai à sécuriser davantage ton ordinateur si tu le souhaites ;)

    -1