virus je pense que c'est spywarequake

Bonsoir,

Télécharge le programme >>Hijackthis 1.99.1<<

Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )

Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller

Salut,

Contre spywarequake il y a ca :

1/ Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici

2/ Redémarre en mode sans échec

Redémarre l'ordinateur. Après les écritures du BIOS, appuies sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience.

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

3/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix et un nouveau Log HijackThis.

voici le rapport smitfraudix en mode sans echec:

SmitFraudFix v2.33b

Rapport fait à 15:32:43,12, 19/04/2006
Executé à partir de C:\Documents and Settings\doc\Bureau\Nouveau dossier\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\1024\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin


j'ai fait un rapport hijackthis juste apres en restant en sans echec:

Logfile of HijackThis v1.99.1
Scan saved at 15:34:29, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\doc\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Program Files\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

et voici le nouveau rapport hijackthis en mode normal:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:39, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\doc\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Program Files\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe


par contre au redemarrgage normal, mon arriere plan a disparu( dans propriete c'est sur "aucun" ), et ma page d'accueil a aussi changer(c'est maintenant msn.com), est ce normal?

alors ca c'est fort, winzzd32.dll est partit: nikel.

disfonctionnement?
ben en fait j'ai toujours messenger qui se met en route au demarrage, je vais faire un msconfig pour ca, ma page d'accueil je vais la refaire et je vous tiendrai au courant pour voir si il y a disfonctionnement, car en gros, a part ma page d'accueil et ce fameux messenger qui s'ouvre et se connecte tout seul je n'est rien d'autre a signaler, a part ce fichier winzzd32.dll que je n'arrivais pas a supprimer.

sinon juste une question ; est ce que je peux desinstaller totalement messenger ou est ce que ca va me creer des problemes si je le desinstalle(par exemple si je veux mettre msn7.5 comme avant)?

pour kaspersky, je te le transmetterai apres car ca risque de prendre du temp.

en tout cas merci pour tout, j'avais du mal a suivre le truc hijackthis quand je naviguais sur les forum, tu m'a permis de comprendre un peu le principe, au fait, "fixchecked" sa m'a bien supprimer le truc , ou sa me la mis autre part?

J'ai le meme probleme mais lorsque je veux lancer Smitfraudfix.cmd , cela m'ouvre un fichier a télécharger, dois-je le faire ?

Re,

Ok on finalyse ! en fait tes dernieres bestioles sont dans ta restauration systeme

menu demarrer/clique droit sur poste de travail/proprietes/Restauration du systeme/Désactiver la restauration systeme

Ensuite tu redemarres ton PC et tu reactives la restauration systeme

Voila maintenant tu reparts avec un PC propre !

Si je peut me permettre je te joint un tutto. sur la securité qui te servira à toi et à tous ceux qui le lisent.

A bientot ;-)

Protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases
http://update.microsoft.com

- 1 (et 1 seul) pare-feu bien paramétré, gratuit
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1

- 1 (et 1 seul) antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE
http://www.avast.com/eng/down_home.html
avec inscription obligatoire
http://www.avast.com/i_kat_207.php?lang=ENG
et son tutorial
http://www.pcentraide.com/index.php?showtopic=120

- antitroyen gratuit passé périodiquement, par exemple A2
http://www.emsisoft.net/fr/
en le téléchargeant
Il est nécessaire de s'enregistrer pour bénéficier des mises à jour

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE Personnal
http://www.lavasoftusa.com/default.shtml.fr
tutorial
http://home.tiscali.be/schouppeguy [...] dawase.htm
et Spybot Search and Destroy
http://www.safer-networking.org/fr/home/index.html
tutorial
http://assiste.free.fr/p/frameset/ [...] estroy.php

- Se protèger des ActiveX nuisibles avec SpywareBlaster
http://www.javacoolsoftware.com/downloads.html
tutorial
http://www.ordi-netfr.org/tutorialspywareblaster.php

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts)

- attitude vigilante quant aux dysfonctionnements de ton système.

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

Tous ces programmes parfaitement mis à jour avant chaque utilisation.

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention"
http://gerard.melone.free.fr/IT/IT-AM0.html

Fais passer le message sur la prévention autour de toi !!

Merci à ChercheurPCA pour ce tuto.

excusez moi, je crois que j'ai toujour un probleme: mon unité centrale tourne pour rien a 100% assez souvent;que puis je faire s'il vous plait?
aujourd'hui, j'ai allumé mon pc, et une fois le bureau apparu, windows c'est arreter pour une erreur inattendu: ecran devenu tout bleu avec plein d'ecriture, il y avait un truc me disant qu'il y a une mise a jour du bios a faire ou un truc comme ca, et c'etais marquer en information technique:
"stop:0x0000007e(0x0000005,0xf1f638d4,0xf7c898ec)
http.sys.Adressf1f638d4base ct f1f52000,datestamp41672744"


et la je viens de faire un scna avec spybot, il me trouve ca:
avenue a.inc /double clik et value clik, alors que hier j'ai fait exactement le meme truc, et je les ai supprimés, mais a ce que je vois, c'est toujours la.

bonjour, alors il y a un "processus inactif du system"et "explorer" qui tourne beaucoup, j'ai remarqué que c'est surtout lors de lecture de divx .
pour les rapport, desolé ca a ete un peu long:

panda:
Spyware:Cookie/2o7__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@2o7[1].txt
Spyware:Cookie/Bluestreak__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@bluestreak[1].txt
Spyware:Cookie/MetriWeb__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@metriweb[1].txt
Spyware:Cookie/Serving-sys__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@serving-sys[2].txt
Spyware:Cookie/Tradedoubler__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@tradedoubler[1].txt
Spyware:Cookie/Weborama__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@weborama[2].txt
Spyware:Cookie/Xiti__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@xiti[1].txt
Spyware:Cookie/2o7__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@2o7[1].txt
Spyware:Cookie/Bluestreak__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@bluestreak[1].txt
Spyware:Cookie/MetriWeb__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@metriweb[1].txt
Spyware:Cookie/Serving-sys__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@serving-sys[2].txt
Spyware:Cookie/Tradedoubler__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@tradedoubler[1].txt
Spyware:Cookie/Weborama__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@weborama[2].txt
Spyware:Cookie/Xiti__ No Désinfecté_ C:\Documents and Settings\doc\Cookies\doc@xiti[1].txt
Outil indésirable:Application/Processor__ Désinfecté_ C:\WINDOWS\system32\Process.exe



pour ewido:

C:\Documents and Settings\doc\Cookies\doc@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Cookies\doc@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\doc\Local Settings\Temporary Internet Files\Content.IE5\016VSDEF\ie0604[1].htm -> Not-A-Virus.Exploit.JS.CVE20061359.b : Nettoyer et sauvegarder

je precise que j'ai fait ewido hier en sans echec bien sur,et panda il y a un instant en mode normal.j'ai quitter l'antivirus qui est kaspersky(version d'essai depuis 5jours)avant le scan panda, pour l'autre en sans echec kaspersky etait deja desactiver.

l'ecran bleu apparait de plus en plus souvent je ne sais plus quoi faire.