Sujet Précédent Sujet Suivant

Infecté par un virus très dérangeant

Résolu
DonMarinho Messages postés 32 Statut Membre -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,

Bonjour,

Je vous fait part de ce post car je suis affecté et infecté par un virus très dérangeant depuis 2 jours déjà...
J'appelle à l'aide... J'esi formaté mon PC, un des disque dur (le C evidemment) Tout allait bien, je réinstalle tous mes logiciels, tout allait bien, jusqu'au moment ou je veux ouvrir 2 de mes partitions (disque durs F et H) mais impossible de les ouvrir ça me met le message suivant: C:\ resycled\boot.com n'est pas une application Win32 valide et là, le virus revient. Je ne peux plus ouvrire Firefox, mon firewall me dit: tentative d'intrusion bloquée et : Intrus: Cexplorer.exe (new line). J'ai fait 3 ou 4 scan avec mon antivirus Kaspersky, symantec, Malwarebytes' Anti-Malware, a squared free, Stinger, Flash_Disinfector, enfin tout ce que j'ai pu trouver, mais rien y fait.
Kaspesky m'indique aussi des virus virus worm.Win32.AutoRun.oni;.onp;.qin;.unn, mais aussi des chevaux de troie : trojan-downloader.Win32.Agent.ahcg il semble ne pas parvenir à les suprimer.

Je vous fais part d'un scan HijackThis ci après:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:41, on 26/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\sécurité PC\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\WinMover\WinMover.exe
C:\Program Files\sécurité PC\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\sécurité PC\SpeedUpMyPC 3\SpeedUpMyPC.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\sécurité PC\Registry Booster\RegistryBooster.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Safari\Safari.exe
E:\sauvegarde log\antispyware\HiJackThis.exe
C:\Program Files\Notepad++\notepad++.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mmm] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\sécurité PC\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [WinMover] "C:\Program Files\WinMover\WinMover.exe" /q
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\sécurité PC\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\sécurité PC\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Program Files\sécurité PC\Registry Booster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7-10] rundll32 advpack.dll,LaunchINFSectionEx NR_IE7en.inf,AfterUserStart,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = C:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SMCWPCI-GM MIMO Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\sécurité PC\a-squared Free\a2service.exe
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\sécurité PC\Tune Up\WinStylerThemeSvc.exe
A voir également:

19 réponses

Réponse 1 / 19
Utilisateur anonyme
 
Salut ,

c est quoi cette manie de venir sur les topics deja pris par un helpeur ??

ça devient agaçant

bonne soirée
1
DonMarinho Messages postés 32 Statut Membre
 
Désolé, Je ne savais pas comment fonctionnait le forum,

Excuse moi, encore une fois je suis navré.
Bonne soirée,
D.M
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
Chiquitine29 bonsoir, tu t'adressais à qui ??
0
Utilisateur anonyme > jacques.gache Messages postés 34829 Statut Contributeur sécurité
 
salut Jacques

a gen hackamn

@+
0
Réponse 2 / 19
DonMarinho
 
je n'avais pas vu ta réponse, merci pour l'info j'essaie ce que tu m'as dit. Mais à priori c'est un virus car j'ai utiliser exactement le même nom d'utilisateur. Pour ce qui est de flash desinfector je l'ai utilisé mais sans succès.
0
Réponse 3 / 19
Utilisateur anonyme
 
Bonjour,

Salut Jacques.

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !


PS : http://www.commentcamarche.net/forum/affich 6826334 virus autorun vbs hijack help me please?#14

Continuez ici (fini les doublons).

Bon dimanche.
0
DonMarinho Messages postés 32 Statut Membre
 
Bonsoir,

Je veux bien vous croire, mais comment y remédier?
Par avance merci,
DON.
0
Réponse 4 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, je viens de reprendre depuis le début et je viens de m'appercevoir que tu avais fais l'analyse avec smitfraudfix en modes sans echec peux tu la refaire mais en mode normal option1, penses à supprimer le rapport existant avant et puis postes le nouveau rapport de smitfraudfix, Merci
0
DonMarinho Messages postés 32 Statut Membre
 
Je te fais ça de suite
Merci..
0
DonMarinho Messages postés 32 Statut Membre
 
Re,bonsoir,

J'ai fais plusieurs analyses, avec malwarebytes, j'ai exécuté trojan remover, rav, kaspersky, flash-disinfect, (EN MODE SANS ECHEC) cela semble avoir réparé une partie seulement des problèmes que j'avais. Car en effet, j'ai maintenant accès à firefox mais il me reste un DD que je ne peux pas ouvrir.
En effet quand je veux ouvrir ma partition F, il y a toujours le m^me message d'erreur : resycled\boot.com n'est pas une appliquation Win 32 valide.
à la suite de ça Kaspersky me préviens avec ce message: Executer un DLL entant qu'application requête sur les fichiers F: \resycled\boot.com, contenant cheval de troie , Trojan.Win32.Inject.jkj.

Ensuite, j'ai remarqué qu'il me reste les dossiers dont je vous ai déjà parlé, nommés : autorun.inf, ces derniers sont présents dans presque tous mes DD (à la racine)


Je vous transmets les différentes analyses, si cela peut vous aider à comprendre, car moi je suis largué depuis bien longtemps:


Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1321
Windows 5.1.2600 Service Pack 3

26/10/2008 21:21:59
rapport malware.txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 319563
Temps écoulé: 6 hour(s), 15 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 12
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\sexvid (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdlep.exe -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\kdlep.exe (Rootkit.DNSChanger.H) -> No action taken.
E:\sauvegarde log\thierry\BS Player 2.24 Pro [JAM-HOT.com]\CORE10k.EXE (Trojan.Agent) -> No action taken.
E:\System Volume Information\_restore{B464718C-27FB-4F95-BFAD-6E022065BC49}\RP147\A0028589.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tempo-3CD.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-617.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-697.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-767.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-94D.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-AF7.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tempo-E2B.tmp (Trojan.FakeAlert) -> No action taken.

j'ai tout sélectionné et supprimé.


je vous envoie plusieurs scans que j'ai fait mais en plusieurs messages car sinon l'envoie ne semble pas fonctionner.
0
DonMarinho Messages postés 32 Statut Membre
 
OIlà ensuite le rapport de HiJackThis








Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:08, on 26/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\sécurité PC\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\WinMover\WinMover.exe
C:\Program Files\sécurité PC\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\sécurité PC\SpeedUpMyPC 3\SpeedUpMyPC.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\sécurité PC\Registry Booster\RegistryBooster.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\sauvegarde log\antispyware\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mmm] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\sécurité PC\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [WinMover] "C:\Program Files\WinMover\WinMover.exe" /q
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\sécurité PC\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\sécurité PC\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Program Files\sécurité PC\Registry Booster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7-10] rundll32 advpack.dll,LaunchINFSectionEx NR_IE7en.inf,AfterUserStart,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = C:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SMCWPCI-GM MIMO Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\sécurité PC\a-squared Free\a2service.exe
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\sécurité PC\Tune Up\WinStylerThemeSvc.exe
0
DonMarinho Messages postés 32 Statut Membre
 
Y a un autre scan mais je ne parviens pas à le poster, il doit être trop long.
c'est un scan de Trojan remover, vous est-il nécessaire ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Utilisateur anonyme
 
salut apparemment tu as oublie de supprimer a la fin du scan de malwarebytes
0
DonMarinho Messages postés 32 Statut Membre
 
bonsoir,
Nan, je l'ai fait, mais après avoir enregistré l'analyse.
Merci
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618 > DonMarinho Messages postés 32 Statut Membre
 
donc si tu la fais ne tiens pas conte de mon message 13 mais regarde dans malwarebytes dans rapport /log si tu ne trouve pas le rapport de nettoyage et puis poste moi smitfraudfix en mode normal , Merci
0
DonMarinho Messages postés 32 Statut Membre > jacques.gache Messages postés 34829 Statut Contributeur sécurité
 
je t'ai envoyé le rapport, je fais une analyse de FxRajump en mode normal et pas sans echec, je te transfert le rapport après?
D.M

Encore merci pour tout.
0
Réponse 6 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bon déja sur ton rapport de malwarebytes tu as No action taken. ce qui veux dire que tu n'as pas cliqué sur supprimer la sélection donc c'est comme si tu n'avais rien fais le mieux serais de le refaire et de bien suivre la procedure à la fin tu ouvres malwarebytes tu fais la mise à jour

. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

. Cliques sur Démarrer
. Cliques sur Arrêter
. Sélectionnes Redémarrer et au redémarrage
. Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
. Utilises les touches de direction pour sélectionner mode sans échec
. puis appuis sur ENTRÉE
. Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

tuto:http://www.vista-xp.fr/forum/topic93.html
0
DonMarinho Messages postés 32 Statut Membre
 
Voilà le rapport le vrai de malwarebytes :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1321
Windows 5.1.2600 Service Pack 3

26/10/2008 21:22:22
mbam-log-2008-10-26 (21-22-22).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 319563
Temps écoulé: 6 hour(s), 15 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 12
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\sexvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdlep.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4eab5a9a-e917-4865-95aa-74223e598f22}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{cd2788d3-341b-49b5-b491-e520fef23fd6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.189;85.255.112.113 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\kdlep.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
E:\sauvegarde log\thierry\BS Player 2.24 Pro [JAM-HOT.com]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{B464718C-27FB-4F95-BFAD-6E022065BC49}\RP147\A0028589.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-3CD.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-617.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-697.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-767.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-94D.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-AF7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-E2B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
Réponse 7 / 19
Utilisateur anonyme
 
bonsoir chiq
0
Réponse 8 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok envois smitfraudfix merci
0
DonMarinho Messages postés 32 Statut Membre
 
Bonsoir voici le scanne,
RAS


Symantec W32.Rajump Removal Tool 1.0.0

W32.Rajump has not been found on your computer.


Que puis-je faire d'autre pour résoudre mes problèmes?

Par avance merci,
D.M
0
DonMarinho Messages postés 32 Statut Membre
 
Désolé me suis trompé de rapport le voici qui suit:

SmitFraudFix v2.366

Rapport fait à 23:07:35,00, 26/10/2008
Executé à partir de E:\sauvegarde log\antispyware\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost



»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SMC SMCWPCI-GM EZ Connect TM 802.11g Wireless PCI Adapter with MIMO Technology
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

J'attends d'avoir votre avis.
Merci encore et bonne soirée.
D.M
0
Réponse 9 / 19
Utilisateur anonyme
 
milles excuses mais c etait pour aider a avancer...mais c est note bonne soiree et continuation
0
Réponse 10 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
c'est pas un rapport de smitfraudfix que tu m'as mis
0
DonMarinho Messages postés 32 Statut Membre
 
J'ai fait un second rapport avec les DNS maintenant.

SmitFraudFix v2.366

Rapport fait à 23:21:21,17, 26/10/2008
Executé à partir de E:\sauvegarde log\antispyware\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: SMC SMCWPCI-GM EZ Connect TM 802.11g Wireless PCI Adapter with MIMO Technology
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix


Merci encore.

Description: SMC SMCWPCI-GM EZ Connect TM 802.11g Wireless PCI Adapter with MIMO Technology
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4EAB5A9A-E917-4865-95AA-74223E598F22}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
0
Réponse 11 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
tu redémarre en mode sans echec et option 2 de smitfraudfix et puis tu posteras le rapport et puis tu passeras fixwareout

tu vas faire le Nettoyage des fichiers infectieux en mode sans echec et poster le rapport ainsi qu'un Hijackthis

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

Ensuite relancez SmitfraudFix, et dans le menu, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

A la question : voulez-vous nettoyer le registre ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

A la question : corriger le fichier infecté ? tapez O (oui) et appuyez sur la touche Entrée de votre clavier.

Soyez ensuite patients, SmitfraudFix va supprimer les fichiers infectieux détectés dans la recherche effectuée précédemment.

Un redemarrage sera peut être necessaire pour terminer la procédure de nettoyage (SmitfraudFix vous le dira si besoin).

Le rapport se trouve à la racine du disque système C:\rapport.txt

poste le rapport dans ton prochain message. Si ton fond d'écran est disparru il suffira d'en remettre un

******************************************************************************************

Télécharge FixWareout de l'un de ces deux liens :
http://downloads.subratam.org/Fixwareout.exe
http://download.bleepingcomputer.com/lonny/Fixwareout.exe

Sauvegarde-le sur ton Bureau, puis lance-le.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse.
0
DonMarinho Messages postés 32 Statut Membre
 
problème, les deux liens de FixWareout ne fonctionnent pas.
Merci
D.M
0
Réponse 12 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok je comprend pas pourquoi je vais regarder si je t'en trouve un autre
0
DonMarinho Messages postés 32 Statut Membre
 
Merci énormément
D.M
0
Réponse 13 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
et bien je crois que cet outil n'est plus disponible car tout les liens que je trouve son mort
0
DonMarinho Messages postés 32 Statut Membre
 
que me conseilles tu donc, pour le remplacer ?

Merci
DON.
0
Réponse 14 / 19
DonMarinho Messages postés 32 Statut Membre
 
Un autre souci,

quand je veux ouvrir un de mes dd un message apparait et me dit:
Windows ne trouve pas resycled\boot.com vérifiez que vous avez entré le nom correspondant et essayez à nouveau
Est ce grave docteur?

Merci énormément pour tes conseils,
DON
0
Réponse 15 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bon pour tes disques je t'ai trouver un trucs qui à l'aire de marcher regarde lev message de mk http://www.commentcamarche.net/forum/affich 8945707 resycled boot com pas app win32 valide#5
par contre redémarre le pc après la manipe pour que ça prenne en compte les modifs

je te mets la manippe traduite de sur le site anglais

Voici la vraie façon de nettoyer cette large de votre système. Vous devez faire ces mesures après un nouveau redémarrage ou en mode sans échec.

1) Accédez au problème de lecteur (s) par l'intermédiaire de la Explorez option.

2) Cliquez sur Outils -> Options des dossiers

3) Cliquez sur le bouton qui dit "Afficher les fichiers et dossiers cachés.

4) Décochez les cases suivantes:

Masquer les extensions des fichiers dont le type est connu
Masquer protégées operrating fichiers système

5) Trouvez et supprimez le fichier autorun.ini et resycled le dossier sur le répertoire racine de tous les lecteurs.

6) Cochez la case "c: \ windows \ system32 \ dllcache" pour boot.com fichier et le supprimer si présent.

7) Vérifiez "c: \ windows \ prefetch" pour boot.com fichier et supprimer si présent.

8) Supprimer tous les fichiers de c: \ windows \ temp

(Certains fichiers mai de ne pas supprimer, c'est ok, ils sont utilisés par le système et non pas le virus de fichiers.)

9) Supprimez tous les fichiers de c: \ Documents and Settings \ [profil de l'utilisateur] \ Local Settings \ Temp

(Encore une fois, un couple de fichiers mai de ne pas supprimer, ne vous inquiétez pas.)

10) Exécutez Regedit

11) Assurez-vous que vous êtes très à la première entrée de la ruche de Registre. (y ordinateur doit être hilighted) puis cliquez sur Édition -> Rechercher

12) Recherche pour "boot.com". Si elle constate une entrée, supprimez-le. Gardez frapper F3 jusqu'à ce que vous avez supprimé toutes les instances de boot.com dans l'ensemble du registre.

13) Faites défiler la gauche comumn sauvegarder au début et hilight la Poste de nouveau en haut de la ruche de Registre.

14) Cliquez sur Edit -> Trouver de nouveau et de recherche pour «resycled et de répéter que dans l'étape 13, en supprimant les entrées comme il les trouve. (J'ai trouvé 2 de chaque)

15) Fermez l'Éditeur du Registre et essayez d'ouvrir les disques infectés. Ils devraient travailler maintenant.

0
DonMarinho Messages postés 32 Statut Membre
 
Merci de te décarcasser comme ça, franchement c'est super cool de ta part,
Encore merci,
Je fais la manip.
bonne soirée
D.M
0
DonMarinho Messages postés 32 Statut Membre
 
je te demande un dernier truc,

Quel pare feu puis je utiliser, un qui soit vraiment efficace?

Merci
Don
0
Réponse 16 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, ou en es tu ?

Chiquitine29 me conseil de te proposer de passer usbfix alors je te mets la procédure

uSbfix xp

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

0
DonMarinho Messages postés 32 Statut Membre
 
Re bonjour,

Désolé de te répondre si tardivement mais je ne pouvais faire autrement.
Je te remercie de tout ce que tu as fais pour me libérer de ce virus qui m'était très énervant.
Bref j'en suis arrivé à bout.
J'ai aussi résolu le problème d'ouverture du disque que j'avais.
Tout est rentré dans l'ordre, enfin pour le moment.
J'ai installé le même parefeux que j'avais c'est à dire Sunbelt-Personal-Firewall, qui me parait bien, mais je ne sais pas ce qu'il vaut exactement.
Encore merci pour ton aide,
a++,
bonne soirée.
DON
0
Réponse 17 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, si tu pouvais me dire comment tu as réglé le problème d'ouverture de tes disque cela pourrais aider d'autre personne dans le même cas, peux tu passer usbfix comme demander dans le message 39 et puis si tu veux bien me répondre franchement sur la version de ton XP qui pour moi n'ai surement pas une version légal merci de me répondre honnêtement
0
DonMarinho Messages postés 32 Statut Membre
 
Bonsoir,

J'ai tout simplement résolu le problème d'ouverture de DD en le débranchant et le re'branchant après démarrage, et cela a fonctionné.
Pour ce qui est de la version de windows, je t'avoue que je ne sais pas dans le sens ou j'ai acheté mon PC à un particulier et que le windows était déjà pré-installé. Il m'a donné un CD que je n'avais qu'à inséré quand je voulais formater.
Voilà,
Merci encore pour ton aide,
D.M
0
DonMarinho Messages postés 32 Statut Membre > DonMarinho Messages postés 32 Statut Membre
 
yep
0
Réponse 18 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok désolé de ne pas avoir pensé à te faire déconnecter et reconnecter le dd je pensais que tu avais déja essaié cette manippe sinon pour ton windows le numéro de licence que tu saisis quand tu réinstalle c'est celui qui est sur la tour ou sur un papier qu'il t'a fillé car sur un outil de diagnostique il sort avec windows xp pirate version , regarde les lignes signalé
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU') => Windows Trust (Windows XP Pirate version)
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') => Windows Trust (Windows XP Pirate version)
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user') => Windows Trust (Windows XP Pirate version)
0
Réponse 19 / 19
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, quand tu as réinstallé xp après le formatage as tu bien pris le même non comme administrateur car possible que si tu na pas mis le même nom que d'origine tes dd soit bloquer en droit d'écriture sinon si tu penses à une infection, tu pourrais essaier de désinsfecter avec avec flash désinfector ou ravantivirus

Téléchargez Flash_Disinfector de sUBs : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

.enregistres le sur le bureau
.branches tous tes lecteurs amovible ( DD externe, clés usb...) ferme toutes tes applications en cour
.N'utilise pas le double-clique tout le temps que l'infection n'est pas supprimée
.cliques droit et ouvrir
.sur le message qui suit tu cliques sur OK
.laisses le travailler et sur le petit message qui apparrait cliques sur OK

****************************************************************************************

Télécharge RavAntivirus d'Evosla sur ton bureau : http://ww25.evosla.com/compteur.php?soft=rav_antivirus
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir avant de lancer ce FIX
- Clique droit sur le fichier .ZIP, puis "Extraire vers" Bureau.
- Doucle-clique sur "RAV.exe" pour lancer le fix.
- Laisse le programme agir : il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
- En cas d'infections un rapport sera généré : poste le dans ta prochaine réponse stp.
- Ensuite : retire tes disques amovibles et redémarre le PC.

-1
DonMarinho Messages postés 32 Statut Membre
 
Désolé je n'ai pas vu ta réponse...
Merci j'essaie de faire ce que tu m'as dit..
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
Erreur 0x800700E1
Didiervd -
Viktimz -

11 réponses