Sujet Précédent Sujet Suivant

Infecté aussi par WinAtivirusPRO

Résolu
Tsuki -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
J'ai besoin de votre aide ! Svp !
j'ai Windows Xp familial

Et j'ai été infecté par WinAntivirusPro2006

j'ai beau l'éliminer avec Spybot ! rien ! il est toujours là !
j'ai bien entendu essayer manuellement , mais en refaisant une fois de plus l'analyse avec Spybot , il est toujours là !
et pour tant quand je fais la recherche du dossier où il est censé se trouver , y'a plus de Dossiers ! car normalement j'avais tout éliminer manuellement !

et Spybot ne peut pas l'éliminer ! et même mon nouveau antivirus : Avast ne fait rien ...

Je suis désespérée et ne sais plus quoi faire ...

voici l'analyse spybot :

Winsoftware.WinAntivirusPro2006 3 éléments Malware

WinAntivirusPro2006 1 éléments Trojans

et voici le rapport Spybot avec leur emplacement et tout

Winsoftware.WinAntiVirusPro2006: [SBI $8E9975DC] Dossier Programme (Répertoire, nothing done)
D:\Program Files\WinAntiVirus Pro 2006\AWBase\

Winsoftware.WinAntiVirusPro2006: [SBI $70A99A88] Dossier Programme (Répertoire, nothing done)
D:\Program Files\WinAntiVirus Pro 2006\Download\

Winsoftware.WinAntiVirusPro2006: [SBI $6DE4FD12] Dossier Programme (Répertoire, nothing done)
D:\Program Files\WinAntiVirus Pro 2006\plugins\

WinAntiVirusPro2006: [SBI $92C0EE61] Dossier Application data (Répertoire, nothing done)
D:\Program Files\WinAntiVirus Pro 2006\

--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-09-16 TeaTimer.exe (1.6.3.25)
2008-10-20 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-09-02 Includes\Adware.sbi (*)
2008-10-14 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-09-02 Includes\Hijackers.sbi (*)
2008-10-07 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-10-14 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-10-08 Includes\Malware.sbi (*)
2008-10-14 Includes\MalwareC.sbi (*)
2008-09-02 Includes\PUPS.sbi (*)
2008-10-14 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-09-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-09-09 Includes\Spyware.sbi (*)
2008-10-14 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-10-15 Includes\Trojans.sbi (*)
2008-10-14 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

62 réponses

Réponse 1 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
commence par faire ceci stp :

Option 1 - Recherche :

▶ télécharge smitfraudfix et enregistre le sur le bureau

(c est le numéro 2 en bas de la page) :

▶ Ensuite double clique sur smitfraudfix puis exécuter

▶ Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

▶ copier/coller le rapport dans la réponse.

Un tutoriel sonore et animé est à ta disposition sur le site.

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
1
Réponse 2 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Salut Tsuki !!

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

▶ Télécharge hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :

https://www.androidworld.fr/

Comment copier/coller le rapport :

Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

https://www.androidworld.fr/
0
Réponse 3 / 62
benurrr Messages postés 9766 Statut Contributeur sécurité 107
 
Bonjourrr;

poste un rapport hijackthis (outil de diagnostic)
Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

--) Enregistre HJTInstall.exe sur ton bureau
--) Double-clique sur HJTInstall.exe pour lancer le programme
--) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
--) Accepte la license en cliquant sur le bouton "I Accept"
--) Choisis l'option "Do a system scan and save a log file"
--) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
--) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
--) Colle le rapport que tu viens de copier sur ce forum
--) Ne fixe encore AUCUNE ligne,
0
benurrr Messages postés 9766 Statut Contributeur sécurité 107
 
oupss

salut geoffrey je vous laisse travailler et bonne journee et bon courage
0
Réponse 4 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Salut benurrr

Merci à toi aussi @+ ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 62
Tsuki
 
ok ! voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:24:15, on 22/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Program Files\EoRezo\EoEngine.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
D:\WINDOWS\system32\sistray.exe
D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
D:\PROGRA~1\Wanadoo\ComComp.exe
D:\PROGRA~1\Wanadoo\Toaster.exe
D:\PROGRA~1\Wanadoo\Inactivity.exe
D:\PROGRA~1\Wanadoo\PollingModule.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\PROGRA~1\Wanadoo\Watch.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://laptopadviser.com/malware-removal/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://laptopadviser.com/malware-removal/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://laptopadviser.com/malware-removal/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://laptopadviser.com/malware-removal/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://laptopadviser.com/malware-removal/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://laptopadviser.com/malware-removal/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: VirRLWarningBHO Class - {A81EBFD7-0FA3-41ec-B60D-6DAE78B4D31A} - D:\Program Files\VirRL2009\VirRLWarning.dll (file missing)
O2 - BHO: (no name) - {BE1A344F-9FF5-4024-949B-52205E6DB2D0} - D:\Program Files\Applications\iebt.dll (file missing)
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Internet Service - {144A6B24-0EBC-4D89-BF09-A06A718E57B5} - D:\Program Files\Applications\iebr.dll (file missing)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [wa6pcw] "D:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\wa6pcw.exe" -c
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SoundMax] "D:\Documents and Settings\Maillot Marilyse\Mes documents\Pilotes audio\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [EoEngine] "D:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NI.WA6PV_0001_N91C2211] "D:\Documents and Settings\Maillot Marilyse\Bureau\WinAntiVirusPro2006Install_fr.exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wblogon] D:\WINDOWS\system32\algg.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] D:\Program Files\Applications\wcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Utility Tray.lnk = D:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F7402A7-567D-4FFD-A706-C8E49BC31B3D}: NameServer = 80.10.246.130 80.10.246.3
O22 - SharedTaskScheduler: amenity - {fef6ace8-bb45-4009-8342-63415164d691} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O24 - Desktop Component 0: (no name) - D:\Documents and Settings\Maillot Marilyse\Bureau\doll.png
0
Réponse 6 / 62
Tsuki
 
ok ! mais il n'arrêtera pas mon antivirus au moins ? il continuera à protéger mon ordi ?
et ce Smitfraudfix .... que fait 'il exactement ? encore un autre rapport de mon système ?
je sais pas mais j'ai un peu peur .... mon ordi c mon outil de travail comme tout le monde maintenant d'ailleurs ...
0
Réponse 7 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Tu n as pas à t inquieter, tu n es pas le premier qui l utilise ;-)

c est un outil destiné aux détournements de bureau et pour certains rogues (comme WinAntivirusPRO)

fais une recherche avec l option 1 et poste le rapport généré à la fin de l analyse dans le bloc note..

Je dois m absenter donc je vérifierai tes réponses dès mon retour vers 20h ;-)

@+
0
Réponse 8 / 62
Tsuki
 
ok ! désolée ^^' je suis si inquiète ...

bon voici le nouveau rapport :

SmitFraudFix v2.366

Rapport fait à 18:52:02,78, 22/10/2008
Executé à partir de D:\Documents and Settings\Maillot Marilyse\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Program Files\EoRezo\EoEngine.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\sistray.exe
D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
D:\WINDOWS\system32\cidaemon.exe
D:\Program Files\Wanadoo\GestionnaireInternet.exe
D:\Program Files\Wanadoo\ComComp.exe
D:\PROGRA~1\Wanadoo\Toaster.exe
D:\PROGRA~1\Wanadoo\Inactivity.exe
D:\PROGRA~1\Wanadoo\PollingModule.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\Program Files\Wanadoo\Watch.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» D:\

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Maillot Marilyse

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Maillot Marilyse\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

D:\DOCUME~1\ALLUSE~1\MENUDM~1\Antivirus Scan.url PRESENT !
D:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Spyware Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\MAILLO~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files

D:\Program Files\virrl2009\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="D:\\Documents and Settings\\Maillot Marilyse\\Bureau\\doll.png"
"SubscribedURL"="D:\\Documents and Settings\\Maillot Marilyse\\Bureau\\doll.png"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{fef6ace8-bb45-4009-8342-63415164d691}"="amenity"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7F7402A7-567D-4FFD-A706-C8E49BC31B3D}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7F7402A7-567D-4FFD-A706-C8E49BC31B3D}: NameServer=80.10.246.130 80.10.246.3

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

0
Réponse 9 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
ok... Maintenant fais ce qui suit dans l ordre stp, c est important :

▶ Télécharge RHosts (de SiRi)

▶ Double clique dessus pour l'exécuter

▶ et cliques sur " Restore original Hosts "

ps : c est normal que rien ne se passe

▶ ensuire redémarre le pc

ensuite :

Option 2 - Nettoyage :

redémarre le PC mode sans échec

▶ Double cliquer sur smitfraudfix

▶ Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

▶ A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

▶ Enregistre le rapport sur ton bureau

▶ Redémarrer en mode normal et poster le rapport.

ensuite :

▶ Télécharge malwarebytes

▶ Voici mon tuto pour bien l installer et bien l utiliser :

https://www.androidworld.fr/

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé

Après l analyse, redémarre le pc et poste le rapport !!

Et refais un nouveau rapport hijackthis stp
0
Réponse 10 / 62
Tsuki
 
voici le rapport après avoir fait le nettoyage via smitfraudfix

en revanche il m'a pas posé la question au sujet du fichier wininet dll
après avoir répondu oui au nettoyage de registre , j'ai vu nettoyage de mon disque et puis hop c 'est revenu au menu smitfraudfix .

SmitFraudFix v2.366

Rapport fait à 22:06:26,18, 22/10/2008
Executé à partir de D:\Documents and Settings\Maillot Marilyse\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{fef6ace8-bb45-4009-8342-63415164d691}"="amenity"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\DOCUME~1\ALLUSE~1\MENUDM~1\Antivirus Scan.url supprimé
D:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Spyware Test.url supprimé
D:\Program Files\virrl2009\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

0
Réponse 11 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
le nettoyage était normalement à faire en mode sans échec... Mais heureusement pour toi, les fichiers ont été supprimés en mode normal ;-)

Tu peux maintenant faire malwarebytes et me poster le rapport...

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé
0
Réponse 12 / 62
Tsuki
 
oups !! c'est vrai ! désolée !!!

voici le rapport de Malwarebytes ( mais celui -ci n'a apparemment pas pu tout supprimer !d'après son message.)
Malwarebytes' Anti-Malware 1.29
Version de la base de données: 1276
Windows 5.1.2600 Service Pack 3

22/10/2008 23:42:18
mbam-log-2008-10-22 (23-42-18).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110850
Temps écoulé: 1 hour(s), 6 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 10
Fichier(s) infecté(s): 60

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\wav6com.avofficeprotect (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wav6com.avofficeprotect.1 (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\z444.z444mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\z444.z444mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{030a0f33-5b99-482e-83f5-2eeb8457878b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{723d54c7-7483-4eb8-8eed-ce5b2aea534d} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{144a6b24-0ebc-4d89-bf09-a06a718e57b5} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wblogon (Trojan.Zlob) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
D:\Program Files\WinAntiVirus Pro 2006 (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\AWBase (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\AWBase\database (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\Download (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\Download\auigkcww (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\PGBase (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\res (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\675873 (Trojan.BHO) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
D:\System Volume Information\_restore{88F7D328-6FB5-4E57-B493-9D5DDB5A9F5D}\RP60\A0051190.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\Download\auigkcww\enemies3020.exe (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\PGBase\vbpv.dat (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\index.html (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27201.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27202.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27203.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27204.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27205.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27206.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27207.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27208.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27209.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27210.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27211.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27212.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27213.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27214.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27215.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27216.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27217.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27301.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27302.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27303.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27304.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27305.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27306.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27307.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27308.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27401.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27402.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27403.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27404.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27405.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27406.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27407.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27408.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27409.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27410.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27411.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27412.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27501.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27502.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27503.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27504.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27505.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27506.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27507.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27601.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27602.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27603.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UA27604.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\UADAILY.DLL (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\plugins\UpDate\wininit.ini (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\res\cross.gif (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\Program Files\WinAntiVirus Pro 2006\res\wa6p.gif (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\stera.exe (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\bmztmss.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\stera.job (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
D:\WINDOWS\Explorer.dmp (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
Réponse 13 / 62
Tsuki
 
j'ai effacé la quarantaine comme le dit ton tuto ^^

et voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:47:50, on 22/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\EoRezo\EoEngine.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\sistray.exe
D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
D:\PROGRA~1\Wanadoo\ComComp.exe
D:\PROGRA~1\Wanadoo\Toaster.exe
D:\PROGRA~1\Wanadoo\Inactivity.exe
D:\PROGRA~1\Wanadoo\PollingModule.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\PROGRA~1\Wanadoo\Watch.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [wa6pcw] "D:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\wa6pcw.exe" -c
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SoundMax] "D:\Documents and Settings\Maillot Marilyse\Mes documents\Pilotes audio\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [EoEngine] "D:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NI.WA6PV_0001_N91C2211] "D:\Documents and Settings\Maillot Marilyse\Bureau\WinAntiVirusPro2006Install_fr.exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wblogon] D:\WINDOWS\system32\algg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Utility Tray.lnk = D:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
0
Réponse 14 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
as tu redémarré le PC pour terminer la suppression de malwarebytes ??

ensuite fais ceci stp :

▶ Télécharge RogueRemover

Il y a un tutoriel d'explication pour bien l'installer et savoir l'utiliser.

▶ signales ce qu'il a supprimé et refais un nouveau rapport hijackthis stp.
0
Réponse 15 / 62
Tsuki
 
oui j'ai redémarré le pc ^^
bon je retélécharge ce logiciel et je refais un rapport .
mais dis moi, l'état de mon pc est critique ?
les virus ne sont pas tous parti ?
si on ne peut plus sauver dis le moi ....
0
Réponse 16 / 62
Tsuki
 
bon ça y est ! j'ai comme tu m'a dit !

Voilà ce que m’a affiché Rogue remover

Vendor : WinAntiVirus2006 Item : D:\WA6P Removed : No

Vendor information : Reason for targeting : Winantivirus2006 is a rogue antivirus utility that uses
Extremely aggressive adversiting and stealth drive-by downloads to install the software on your system . It then continues to provide false positives to lure you into buying the software.

Total applications detected : 469

puis j'ai suivi le tuto à la lettre , et à la fin on m'a affiché : congratulation, rogueremover did not detect any items


et voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:49, on 23/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Program Files\EoRezo\EoEngine.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\sistray.exe
D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [wa6pcw] "D:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\wa6pcw.exe" -c
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SoundMax] "D:\Documents and Settings\Maillot Marilyse\Mes documents\Pilotes audio\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [EoEngine] "D:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NI.WA6PV_0001_N91C2211] "D:\Documents and Settings\Maillot Marilyse\Bureau\WinAntiVirusPro2006Install_fr.exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wblogon] D:\WINDOWS\system32\algg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Utility Tray.lnk = D:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Documents and Settings\Maillot Marilyse\Mes documents\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
0
Réponse 17 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Salut !!

refais une analyse complete avec malwarebytes en mode sans échec stp

Supprime tout et redémarre le PC pour terminer la suppression si il te le demande
0
Réponse 18 / 62
Tsuki
 
comment faire pour passer en mode sans echec et pour repasser en mode normal
0
Réponse 19 / 62
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
redémarrer le PC en mode sans échec

Et ensuite, pour redémarrer en mode normal, il te suffira de redémarrer le PC comme d habitude et le laisser démarrer sans appuyer sur la touche F8
0
Réponse 20 / 62
Tsuki
 
voilà, j'ai fait comme tu me l'as dit en mode sans echec, j'ai tout supprimé même dans la quarantaine, il y avait un Trojan c'est tout ... mais on ne m'a demandé de redémarrer, mais bon je l'ai fait tout de même
et voici le rapport de Malwrebytes
Malwarebytes' Anti-Malware 1.29
Version de la base de données: 1276
Windows 5.1.2600 Service Pack 3

23/10/2008 19:11:42
mbam-log-2008-10-23 (19-11-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110968
Temps écoulé: 1 hour(s), 30 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wblogon (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses