bon voila salut a tous je suis infecter par spysheriff et j'arrive presque rien a faire sur mon pc ad-awar marche pas, hijackthis marche mais imposible de copier coller le lien ou de l'enregistré sur mon DD donc j'ai pensé a faire un screen et je vous le fait parvenir: si quelqu'un pourrait me l'analyser (Chercheur, lovelyboy,...) Merci d'avance


http://img164.echo.cx/img164/8050/2emepartie3vu.jpg[/img]




PS: excuser moi pour les photos trop grosse mais si non on ne pouvait pas lire merci beaucoup !!

UP svp aidez moi je suis vraiment dans la C***

OK,

Je regarde ton rapport.
Moi non plus, je ne vais pas pouvoir faire copier/coller pour la réponse :-( , il va falloir que je recopie certaines lignes ...

ben oui s'il te plait sa m'avanceré beaucoup stp ou si non tu me dit les ligne avec des nombre (ligne 23) mais compte bien

UP, stp chercheurPCA je sais que sa doit un peut te souler mais stp fais le merci d'avance :-)

Re

Qu'est ce que tu as comme protection ? (antivirus, parefeu ,...)
MégaInfection = traitement de cheval

1 Télécharge les outils suivants:

PocketKillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Ensuite, tu le dézippes sur ton bureau.

CleanUp
http://www.spywareaid.com/index.php?file=showsoftware&action=dl&softid=1&softtype=exe

DelDomain.inf
http://www.mvps.org/winhelp2002/restricted.htm
clic droit / Enregistrer la cible sous... Mettre sur le bureau.

CWShredder
http://cwshredder.net/bin/CWShredder.exe
Mettre CWShredder dans un répertoire dédié

Hoster
http://www.funkytoad.com/download/hoster.zip
Ensuite, tu le dézippes sur ton bureau.

Smitfraud.reg
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
Enregistre ce fichier sur ton bureau

IMPORTANT:
A partir de maintenant, tu fais toutes les corrections HORS CONNEXION. Imprime ou enregistre cette page.

2 Désinstalle via Ajout/suppression des programmes du panneau de configuration, les programmes suivants (si tu les trouves):

Security IGuard
Virtual Maid
Search Maid


3 Double-clique sur Smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg


4 Lance PocketKillBox, coche la case "Delete on reboot".

Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"

5 Redémarre en mode sans echec Rémarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

6 Supprime les dossiers suivants (si tu les trouves):

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard


7 Relance un scan HijackThis et coche les lignes ci-dessous :

Toutes les R0 et les R1
La F2
Toutes les 01
Les 02 SAUF celle concernant Adobe/Acrobat
La 04 avec [wupd] et C:\Windows\System32\Win32.exe
Toutes les 013
Toutes les 015
Toutes les 016. Même si certaines sont légitimes, ce sont des activeX téléchargeables à volonté
La 018
La 020
Les 021

Ferme toutes les fenêtres Internet Explorer, Outlook Express sauf Hijackthis,puis clique sur Fix checked

8 Pour CWShredder
Fermer toutes les fenêtres
Lancer CWShredder et cliquer sur "Fix".


9 Redémarre normalement

10 Lance Hoster - Toadbee et clique sur " Restore original Hosts "

11 Fais un clic droit le fichier Del_Domains.inf -->Installer

12 Lance et exécute CleanUp!
Dans Options, tu coches Standard CleanUp puis OK

13 Redémarre et poste un nouveau rapport hijackthis.

ok merci mon grand, tu gere bien :-) bon je fais tout sa et je reposte une log merci beaucoup a toi (euh y'en aura un peu tit peu pour longtemps) :-) @+++

re bon voila donc j'ai fais bien tous ce que tu m'avais dit j'ai reussi a recuperer mon fond d'ecran mais il reste encore quelque problème (Copier/coller marche toujours pas, gestionnaire des taches non plus...) je vous envoi mon screen de hijackthis:


[img align=left]http://img156.echo.cx/img156/7208/3emepartie9dt.jpg[/img]



PS: excuser moi car l'image est toujours aussi grande mais si je la met plus petit elle devient ilisible donc voila. Merci de ton aide a toi chercheurPCA ou aux autres

UP, svp aidez moi

* Télécharge ce fichier VirusBdRepair

http://snooky730.free.fr/VirusBdRRepair.vbs

Ouvrir, Exécuter, Ouvrir puis OK.
Il est employé pour remettre en place (dans la base de registres) les associations relatives à l'exécution des fichiers exécutables (.exe, .com, .bat, .reg, etc.)

oki merci bien je vais faire ca et je vous tiendré au courant merci bien !!

salut chercheurcpa g bien regarder ce ke tu as dit et g fait la mm choze voila mon rapport hijackthis

psarcontre g tjrs le fond d'ecran ki ve pas senlever sniiff
[quote]
Logfile of HijackThis v1.99.1
Scan saved at 10:46:50, on 02/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\ronan\Bureau\c\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: comments (such as these) may be inserted on individual
O1 - Hosts: 82.233.81.147 l2testauthd.lineage2.com
O1 - Hosts: hydra-serveur.sytes.net l2authd.lineage2.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [psb] C:\WINDOWS\psb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NI.UWFX5V_0001_0802] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe"
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\Run: [System service67] C:\WINDOWS\\etb\pokapoka67.exe
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\\etb\pokapoka68.exe
O4 - HKLM\..\Run: [System service69] C:\WINDOWS\\etb\pokapoka69.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\\\etb\\pokapoka70.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpyShooter 2006.lnk = C:\Program Files\CheckFlow\SpyShooter\FlowStarter.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7242478936
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AutoFix - Unknown owner - C:\Windows\system32\Dap\Ad-Aware.exe
O23 - Service: AutoLoad - Unknown owner - C:\Windows\system32\Dap\Ad-Aware.exe
O23 - Service: AutoUpdate - Unknown owner - C:\Windows\system32\Dap\Ad-Aware.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FlowProtectorService - - C:\Program Files\CheckFlow\SpyShooter\5.0.0.4\FlowService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Processes - Unknown owner - C:\Windows\system32\Dap\Ad-Aware.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe