Tom's Guide > Forum > Sécurité - Virus > Grosse infection inconnue

Grosse infection inconnue

Forum Sécurité - Virus : Grosse infection inconnue

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
Futur256   11-07-2008 à 16:48:05

Bonjour à tous,
Mon père était sur internet quand soudainement des pubs sont arrivés.
Le fond d'écran a changé, ça fait un fond rouge.
En bas à droite à côté de l'heure est écrit "VIRUS ALERTE"
C'est tout ce que je peux vous dire.
Voilà un scan de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44: VIRUS ALERT!, on 11/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Local Settings\Temporary Internet Files\Content.IE5\49CFGN43\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.p [...] Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2E47AEF7-28A3-424E-91E5-101C79B0AABB} - C:\WINDOWS\System32\qoMeBrqn.dll
O2 - BHO: {e25f2061-2b48-1209-a8f4-78cd1cace293} - {392ecac1-dc87-4f8a-9021-84b21602f52e} - C:\WINDOWS\System32\vcscpo.dll
O2 - BHO: QXK Olive - {3FA72DBF-0A46-4C6E-A998-29EA2BC76977} - C:\WINDOWS\wbxdpgfentg.dll
O2 - BHO: (no name) - {43FCD2CF-5569-4208-97D2-52748E0EF6A0} - C:\WINDOWS\System32\geBuRHBU.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: sqvgnrpx - {63BB2189-05DB-4E6B-9542-82C9A1C53C0B} - C:\WINDOWS\sqvgnrpx.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [58533e29] rundll32.exe "C:\WINDOWS\System32\goqqfuck.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Program Files\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: geBuRHBU - C:\WINDOWS\SYSTEM32\geBuRHBU.dll
O21 - SSODL: fsrpknov - {3A82714C-4E29-4F0A-A698-6E11A084F500} - C:\WINDOWS\fsrpknov.dll
O21 - SSODL: fdxbameg - {29BD3C78-1942-43B9-898A-DCC56F7CD4A8} - C:\WINDOWS\fdxbameg.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 5410 bytes

Merci d'avance !


Message édité par Futur256 le 11-07-2008 à 16:56:59
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Eric_71   11-07-2008 à 20:00:31
- 0 +

Hello ,

Télécharge Smitfraudfix [:eric_71:7] < ici

Enregistre le sur ton bureau

Double clique sur SmitfraudFix.exe ( le .exe peut ne pas apparaitre )
Choisis ensuite l'Option 1 ( Recherche )

Poste le rapport généré

Répondre à Eric_71
Futur256   11-07-2008 à 20:09:19
- 0 +

Comme demandé :


SmitFraudFix v2.329

Rapport fait à 20:08:17,12, 11/07/2008
Executé à partir de C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DIDIER~1.PRI\Favoris

C:\DOCUME~1\DIDIER~1.PRI\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\DIDIER~1.PRI\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\DIDIER~1.PRI\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\DIDIER~1.PRI\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\DIDIER~1.PRI\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\DIDIER~1.PRI\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: wbxdpgfentg.dll
BHO: QXK Olive - {3FA72DBF-0A46-4C6E-A998-29EA2BC76977}
TypeLib: {83E03729-A156-46EC-9CB8-AFEDC71AEC0A}
Interface: {34B5A18E-62D7-47AD-8801-1DA95CACC9BA}
Interface: {4B745BDE-F479-42DE-9C18-37422EA83BCC}

[!] Suspicious: sqvgnrpx.dll
Toolbar: sqvgnrpx - {63BB2189-05DB-4E6B-9542-82C9A1C53C0B}
TypeLib: {11EA6F11-55B4-4460-ADE5-B0B06736790F}
Interface: {25DDD24D-1A1B-41AC-919B-B6BC6DFBC2FC}
Classe: sqvgnrpx.btpb
Classe: sqvgnrpx.ToolBar.1

[!] Suspicious: fdxbameg.dll
SSODL: fdxbameg - {29BD3C78-1942-43B9-898A-DCC56F7CD4A8}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur Fast Ethernet intégré 3Com 3C920 (compatible 3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7C0C5507-4581-47AD-B080-5E58BD0DF70E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7C0C5507-4581-47AD-B080-5E58BD0DF70E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7C0C5507-4581-47AD-B080-5E58BD0DF70E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Je vous remerci de votre rapidité !! Vive Info Du Net !!

Répondre à Futur256
Eric_71   11-07-2008 à 20:11:31
- 0 +

Re ,

Redémarre en mode sans échec : >> Mode Sans Echec <<

Double clique sur SmitfraudFix.exe ( le .exe peut ne pas apparaitre )
Choisis cette fois-ci l'Option 2 ( Nettoyage )

Repond Oui à toutes les questions
Un redémarrage peut être nécéssaire

Poste le rapport généré ( C:\rapport.txt )
Et un nouveau rapport Hijackthis

Répondre à Eric_71
Futur256   11-07-2008 à 21:27:55
- 0 +

Les rapports sont trop long donc téléchargez-les ici en cliquant sur "DOWNLOAD NOW SECURELY" : (7 jours)
https://www.yousendit.com/download/ [...] M2xjR0E9PQ

 


Message édité par Futur256 le 11-07-2008 à 21:30:50
Répondre à Futur256
Eric_71   12-07-2008 à 11:00:16
- 0 +

Re ,

Télécharge R-Hosts [:eric_71:13] < ici

double clique sur R-Hosts.exe
Puis clique sur Restaurer , valide par [OK]

reposte un rapport Hijackthis ( en mode normal , celui sur ton lien est en mode sans échec donc on ne voit pas tout ;) )

Répondre à Eric_71
Futur256   12-07-2008 à 12:28:01
- 0 +

Comme demandé :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27: VIRUS ALERT!, on 12/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.p [...] Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [58533e29] rundll32.exe "C:\WINDOWS\System32\ytlnbfto.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Program Files\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O21 - SSODL: fsrpknov - {3A82714C-4E29-4F0A-A698-6E11A084F500} - C:\WINDOWS\fsrpknov.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 4385 bytes

Répondre à Futur256
Eric_71   12-07-2008 à 12:47:22
- 0 +

Re , c'est coriace :D

Télécharge SDFix [:eric_71:14] < ici
Enregistre le sur ton Bureau

Double clique sur SDFix.exe ( le .exe peut ne pas apparaitre )
Choisis Install pour l'extraire sur ton Bureau
Redémarre en mode sans échec : >> Comment démarrer en mode Sans Echec <<
Double clic sur le dossier SDFix
puis double clique sur RunThis.bat ( le .bat peut ne pas apparaitre )
Appuie sur Y pour le lancer , laisse le s'éxécuter
Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est possible que le redémarrage soit plus long que d'habitude
Une fois ton Bureau chargé ,il affichera Finished
Appuie sur une touche pour finir l'exécution et charger les icônes de ton Bureau

Un rapport est généré , Copie / colle le dans ta réponse

tu trouveras aussi ce rapport dans le dossier SDFix ( Report.txt )




Répondre à Eric_71
Futur256   12-07-2008 à 13:45:55
- 0 +

Voilà, par contre, Antivir n'arrête pas de détecter un virus, qu'est-ce que je fais ?
Le fond d'écran est tout blanc maintenant, et il est impossible de le changer.
Dans démarrer, il n'y a plus le Panneau de configuration, etc.

Le scan :



SDFix: Version 1.204
Run by Administrateur on 12/07/2008 at 13:26

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\Error Cleaner.url - Deleted
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Favoris\Error Cleaner.url - Deleted
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\Privacy Protector.url - Deleted
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Favoris\Privacy Protector.url - Deleted
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\Spyware&Malware Protection.url - Deleted
C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Favoris\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\privacy_danger\index.htm - Deleted
C:\WINDOWS\privacy_danger\images\capt.gif - Deleted
C:\WINDOWS\privacy_danger\images\danger.jpg - Deleted
C:\WINDOWS\privacy_danger\images\down.gif - Deleted
C:\WINDOWS\privacy_danger\images\spacer.gif - Deleted
C:\WINDOWS\gpefaowr.exe - Deleted
C:\WINDOWS\system32\clbdll.dll - Deleted
C:\WINDOWS\EORP.EXE - Deleted



Folder C:\WINDOWS\privacy_danger - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 13:36:34
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 29 Aug 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Fri 1 Jan 1999 45,056 ..SHR --- "C:\WINDOWS\system32\krnp32drv.dll"
Fri 12 Jan 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 20 Dec 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Thu 24 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!


Message édité par Futur256 le 12-07-2008 à 14:25:01
Répondre à Futur256
Eric_71   12-07-2008 à 16:30:41
- 0 +

Re ,

Tu peux refaire un Smitfraudfix option 2

Répondre à Eric_71
Futur256   13-07-2008 à 10:21:29
- 0 +

SmitFraudFix v2.329

Rapport fait à 9:45:11,98, 13/07/2008
Executé à partir de C:\Documents and Settings\DIDIER.PRIVATE-9R1PFRM\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: OvisLink WL-8000PCM - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3F14F18A-BC9D-4D98-A6A1-9982BD64BB3A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Mon père en a marre, il veut reformater, pensez-vous que c'est bientôt terminé ?

Répondre à Futur256
Futur256   13-07-2008 à 11:33:46
- 0 +

Oh non, elle est vraiment si grande mon infection ?

Répondre à Futur256
Eric_71   13-07-2008 à 13:43:21
- 0 +

Citation :

et aussi non reformate ca ira plus vite mais n'oublis pas de sauvegarder tes fichier sur un autre support tel qu'un disque dur externe


Pas de formatage ...

Reposte un Hijackthis

Répondre à Eric_71
Futur256   03-08-2008 à 23:33:50
- 0 +

Trop tard.
Mon père il y a longtemps qu'il a reformaté... LOL

Répondre à Futur256
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Grosse infection inconnue
Aller à :

Il y a 267 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,346 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens