[résolu]probleme virus envoi de mail internet explorer déconne
Forum Sécurité - Virus : [résolu]probleme virus envoi de mail internet explorer déconne
On fait autrement 
- Double-clique VundoFix.exe afin de le lancer.
- Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found" ), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
- Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
C:\WINDOWS\System32\awtus.dll
- Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
C:\WINDOWS\System32\sutaw.*
- Clique sur le bouton "Add File(s)"
- Clique sur le bouton "Close Window"
- Clique à nouveau sur "Remove Vundo"
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown" ); clique OK
- Démarre ton PC à nouveau.
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.
Message édité par Angeldark le 09-09-2006 à 15:03:25
ok mais le probleme c'est qu'il trouve toujours le fichier C:\WINDOWS\System32\awtus.dll quand je scan et ne peut pas le supprimer quand je clic sur remove, j'ai aussi fait clic droit et ajouté les 2 fichier dans les cases et j'ai fait remove et pareil impossible a supprimer donc il redemarre et retrouve les meme fichier toujours impossible a supprimé 
Plus de Vundo 
C:\WINDOWS\SYSTEM32\emul65.dll
-> bizarre...
| Citation : - Assure toi d'avoir accès aux dossiers/fichiers cachés
|
Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:
C:\WINDOWS\SYSTEM32\emul65.dll
Si tu vois ce message:
" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il te faudra patienter.
Clique ensuite sur Send
Poste le rapport en fin d'analyse.
Répondre à Angeldark
j'ai fait restore hosts
j'ai ressayé d'aller sur le site virustotal, j'ai ça :
Esteban,
J'ai compri pourquoi il n'y avait rien sur castlecops !
J'ai bien colle :
emul65.dll
mais en validant j'ai appuye sur *
Merci de l'avoir vu, je commencais a devenir vous avec ce emule65
Répondre à Angeldark
| Angeldark a écrit :
|
ça m'étonnait aussi que ça t'ait échappé 
Répondre à esteban54
ça m'étonnait aussi que ça t'ait échappé
-> arrete tu vas me faire rougir 
Répondre à Angeldark
ok me revoila lol, un peu long le spysweeper donc voici son rapport :
17:37: Processus de suppression lancé. Durée 00:01:03
17:37: Mise en quarantaine de toutes les traces : dfm-mind_spamrelayer
17:37: Mise en quarantaine de toutes les traces : trojan-backdoor-adagoe
17:37: Mise en quarantaine de toutes les traces : reliablestats cookie
17:37: Mise en quarantaine de toutes les traces : weborama cookie
17:37: Mise en quarantaine de toutes les traces : enhance cookie
17:37: Mise en quarantaine de toutes les traces : 247realmedia cookie
17:37: Mise en quarantaine de toutes les traces : serving-sys cookie
17:37: Mise en quarantaine de toutes les traces : atwola cookie
17:37: Mise en quarantaine de toutes les traces : bs.serving-sys cookie
17:37: Mise en quarantaine de toutes les traces : xiti cookie
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SST10F.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTFF.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTEF.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:37: Mise en quarantaine de toutes les traces : hotbar
17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTD5.tmp". Reason: Le fichier spécifié est introuvable
17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:36: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTC5.tmp". Reason: Le fichier spécifié est introuvable
17:36: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
17:36: Mise en quarantaine de toutes les traces : cws-aboutblank
17:36: Mise en quarantaine de toutes les traces : prosearch.com hijack
17:36: Mise en quarantaine de toutes les traces : trojan-phisher-metafisher
17:36: Mise en quarantaine de toutes les traces : trojan agent winlogonhook
17:36: Mise en quarantaine de toutes les traces : security2k hijacker
17:36: Processus de suppression lancé.
17:36: Traces trouvées : 34
17:36: Analyse complète terminée. Durée 01:10:54
17:36: Analyse des fichiers terminée, temps passé : 01:08:30
17:36: Avertissement: Failed to access drive D:
17:35: portugues.language (ID = 166442)
17:32: polski.language (ID = 61677)
17:32: russian.language (ID = 61680)
17:32: german.language (ID = 61675)
17:32: swedish.language (ID = 61682)
17:32: romanian.language (ID = 61679)
17:32: spanish.language (ID = 61681)
17:32: dutch.language (ID = 61669)
17:32: french.language (ID = 61671)
17:32: english.language (ID = 61670)
17:32: arabic.language (ID = 61667)
17:14: geowhere.lnk (ID = 61674)
17:12: geowhere.lnk (ID = 61674)
17:12: geowhere.lnk (ID = 61674)
17:12: Trouvé Adware: geowhere
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:56: ctldlg32.dll (ID = 318754)
16:56: Trouvé Trojan Horse: dfm-mind_spamrelayer
16:39: z152560.exe (ID = 350)
16:39: Avertissement: Failed to open file "c:\windows\system32\config\systemprofile\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:39: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:28: ynp2560.exe (ID = 350)
16:28: Trouvé Trojan Horse: trojan-backdoor-adagoe
16:27: Démarrage de l’analyse des fichiers
16:27: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
16:27: Analyse des cookies terminée, temps passé : 00:00:00
16:27: clg victor hugo@stats1.reliablestats[2].txt (ID = 3254)
16:27: Trouvé Spy Cookie: reliablestats cookie
16:27: clg victor hugo@weborama[2].txt (ID = 3658)
16:27: Trouvé Spy Cookie: weborama cookie
16:27: clg victor hugo@c.enhance[1].txt (ID = 2614)
16:27: Trouvé Spy Cookie: enhance cookie
16:27: clg victor hugo@247realmedia[1].txt (ID = 1953)
16:27: Trouvé Spy Cookie: 247realmedia cookie
16:27: clg victor hugo@serving-sys[1].txt (ID = 3343)
16:27: Trouvé Spy Cookie: serving-sys cookie
16:27: clg victor hugo@atwola[1].txt (ID = 2255)
16:27: Trouvé Spy Cookie: atwola cookie
16:27: clg victor hugo@bs.serving-sys[2].txt (ID = 2330)
16:27: Trouvé Spy Cookie: bs.serving-sys cookie
16:27: clg victor hugo@xiti[1].txt (ID = 3717)
16:27: Trouvé Spy Cookie: xiti cookie
16:27: Démarrage de l’analyse des cookies
16:27: Analyse du Registre terminée, temps passé 
00:14
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 774883)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\toolbar\shellbrowser\ || {74cc49f7-eb32-4a08-b204-948962a6e3db} (ID = 685412)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {e77eda01-3c56-4a96-8d08-02b42891c169} (ID = 127576)
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {946b3e9e-e21a-49c8-9f63-900533fafe14} (ID = 127575)
16:27: Trouvé Adware: hotbar
16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 115925)
16:27: Trouvé Adware: cws-aboutblank
16:27: HKLM\software\microsoft\internet explorer\main\ || search page_bak (ID = 1250789)
16:27: Trouvé Adware: prosearch.com hijack
16:27: HKLM\software\microsoft\windows\currentversion\control panel\load\ (ID = 1150937)
16:27: Trouvé Trojan Horse: trojan-phisher-metafisher
16:27: HKLM\software\microsoft\mssmgr\ (ID = 937101)
16:27: Trouvé Trojan Horse: trojan agent winlogonhook
16:27: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objecta\ (ID = 735573)
16:27: Trouvé Adware: security2k hijacker
16:27: Démarrage de l’analyse du Registre
16:27: Analyse de la mémoire terminée, temps passé : 00:00:33
16:26: Démarrage de l’analyse de la mémoire
16:25: Analyse lancée avec la version des définitions 723
16:25: Spy Sweeper 5.0.7.1608 démarrée
16:25: | Début de session, samedi 9 septembre 2006 |
********
16:25: | Fin de session, samedi 9 septembre 2006 |
16:25: Version du programme : 5.0.7.1608 - Définitions de logiciels espions 723
16:25: Spy Sweeper 5.0.7.1608 démarrée
16:25: | Début de session, samedi 9 septembre 2006 |
********
oui c'est en cours
HaxDoor effectivement 
- Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
(ou double-cliquer sur l'icone du bureau fix.bat )
- Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
- Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"
si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.
- Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
- La machine sera re-démarrée
- En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
- Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .
Répondre à Angeldark
