Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

un élévage de logiciels espions [résolu]

onphalos

Par onphalos
dans Analyses et éradication malwares

 Partager

Messages recommandés

onphalos Member

onphalos

Posté(e)
Posté(e) (modifié)

Bonjour,

 

c'est mon premier post et donc j'espère ne pas m'être trompé de forum.

 

je ne suis pas un espert, loin de là et je viens de découvrir que mon Norton Protection Center 2006, n'a pas bien fait son travail ou bien n'était pas suffisant. Comme explorer faisait de plus en plus de choses bizarres on m'a conseillé d'installer spybot.

 

Resultat :

 

Doubleclick 1 élément

Microsoftwindowssecuritycenterdisabled 1 élément

PipasA 1 élément

Winantiviruspro2006 4 élémnts

Microsoftwindowssecuritycenter Antivirusdisabled_Notify 1 élémnt

MicrosoftwindowssecuritycenterAntivirus Override 1 élément

MicrosoftwindowssecuritycenterFirewalldisabled_notify 1 élément

Microsoftwindowssecuritycenter FirewallOverride 1 éléments

Microsoftwindowssecuritycenter Firewall openports 2 éléments

Winsoftware Winantiviruspro2006 12 éléménts

Zlob Zcodec 4 éléments

 

Je ne sais pas si la présence de ZonAlarm (gratuit) a peut-etre aidé à saver le meubles.

 

Je vous avoue que je ne comprends rien. Je ne sais pas si c'est grave, si ce sont des spireware faciles à éliminer.

 

Or, je n'ai pas encore osé demander à Spybot de tout éliminer. Avant, je voudrais avoir votre opinion.

 

Une chose importante, j'ai fait la recherche en mode normale et pas sans échec. Si je demande à Spybot de tout éliminer, est-ce qu'il y a des risques ? J'élimine tout et après je fais une recherche en mode sans echec ? ou bien vou me conseiller de faire directement une recherche en mode sans echec ?

 

 

Je vous remercie par avance

Modifié par onphalos

Angeldark Full Patch Member

Angeldark

Posté(e)
Posté(e)

Bonjour,

 

Télécharge Smitfraudfix

Dézippe-le sur le Bureau.

Ouvre le dossier SmitfraudFix et lance SmitfraudFix(.cmd)

Choisis l'Option 1 (Recherche)

Poste le premier rapport ici.

 

NOTE :

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

onphalos Member

onphalos

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Télécharge Smitfraudfix

Dézippe-le sur le Bureau.

Ouvre le dossier SmitfraudFix et lance SmitfraudFix(.cmd)

Choisis l'Option 1 (Recherche)

Poste le premier rapport ici.

 

NOTE :

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

 

Merci beaucoup.

 

Voilà le rapport :

 

SmitFraudFix v2.94

 

Rapport fait à 16:14:56,17, 20/09/2006

Executé à partir de C:\Documents and Settings\stefano\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\stefano\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\stefano\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

onphalos Member

onphalos

Posté(e)
  • Auteur
Posté(e)

Rien dans ce rapport.

Peut tu me dire quels fichiers,Spybot detecte il ?

 

 

Tout ça :

 

Doubleclick 1 élément

Microsoftwindowssecuritycenterdisabled 1 élément

PipasA 1 élément

Winantiviruspro2006 4 élémnts

Microsoftwindowssecuritycenter Antivirusdisabled_Notify 1 élémnt

MicrosoftwindowssecuritycenterAntivirus Override 1 élément

MicrosoftwindowssecuritycenterFirewalldisabled_notify 1 élément

Microsoftwindowssecuritycenter FirewallOverride 1 éléments

Microsoftwindowssecuritycenter Firewall openports 2 éléments

Winsoftware Winantiviruspro2006 12 éléménts

Zlob Zcodec 4 éléments

 

tout en rouge.

 

Apparemment Winantiviruspro2006 est un virus des pluus rédoutables

Angeldark Full Patch Member

Angeldark

Posté(e)
Posté(e)

Je me suis mal exprimé, où se trouve ces fichiers ?

 

Clique sur le + dans SpyBot

 

- Télécharge Hijackthis de Merjin

- Mets le dans un dossier ou sur ton bureau

-- Clique Droit sur Hijackthis :

-> Choisis " Renommer "

-> Tape Scanner.exe puis valide

 

- Lance l'application

- Choisis l'option Do a system scan and save a logfile

-- Le Bloc-Notes s'ouvre :

-> Edition / Sélectionner Tout

-> Edition / Copier

- Colle le rapport ici.

 

Aide sur Hijackthis

onphalos Member

onphalos

Posté(e)
  • Auteur
Posté(e)

j'ai pu répondre. voici le scan :

 

Merci !

 

Logfile of HijackThis v1.99.1

Scan saved at 19:17:17, on 20/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\zHotkey.exe

C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SEC\MagicTune3.6_Client_pivot\GammaTray.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\stefano\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.italieaparis.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [showWnd] ShowWnd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: WkCalRem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Color Calibration.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: MagicTune3.6.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120050410140

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E9B32FE-AF12-4EF5-972F-A96A5BD9188C}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{B658DDA6-373F-4C72-9532-EBA9AE0B1769}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

Angeldark Full Patch Member

Angeldark

Posté(e)
Posté(e)

Fais ce que je t'ai envoyé par MP :

 

Rappel :

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E9B32FE-AF12-4EF5-972F-A96A5BD9188C}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{B658DDA6-373F-4C72-9532-EBA9AE0B1769}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt

 

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :

Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

A la fin du scan, NE TOUCHE A RIEN !

Nous devons analyser ce rapport, ferme donc le programme.

 

Poste le rapport sur le forum.

 

Aide sur BlackLight de Malekal_Morte

 

Installe Ewido

Lance Ewido puis mets le à jour en cliquant sur " Update Now "

Ferme le programme.

Aide sur Ewido de Rub_Mic

 

Redémarre en mode sans échec

 

Relance Ewido puis choisis l'onglet " Scanner "

Puis sur l'onglet " Settings ", pour " How to Act " sélectionne " Quarantine ".

Reviens dans l'onglet " Scan " puis réalise un " Complete System Scan "

 

* Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse *

 

Clique sur " Save Report " puis sur " Save Report As "

Enregistre ce fichier .txt sur ton bureau, Copie/Colle le ici en mode normal.

onphalos Member

onphalos

Posté(e)
  • Auteur
Posté(e) (modifié)

Fais ce que je t'ai envoyé par MP :

 

Rappel :

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E9B32FE-AF12-4EF5-972F-A96A5BD9188C}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{B658DDA6-373F-4C72-9532-EBA9AE0B1769}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{0A61BFE6-0555-49D4-BD3D-B65CEC16F584}: NameServer = 85.255.115.6,85.255.112.20

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt

 

 

Merci beaucoup.

 

j'ai fait jusqu'à ce point

 

voilà le rapport :

 

Fixwareout ver 1.003

Last edited 8/11/2006

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}32CBCD4B6700-DD5B-EC54-03E6-EC975D06{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fhxmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

"dmxhf.exe"=-

...

 

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Searching by size/names...

* csr.exe C:\WINDOWS\System32\CSLVL.EXE

 

»»»»»

Search five digit cs, dm and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSLVL.EXE 51 238 2006-08-03

C:\WINDOWS\SYSTEM32\DMXHF.EXE 62 016 2004-08-05

 

Other suspects.

Directory of C:\WINDOWS\system32

 

»»»»» Misc files.

 

»»»»» Checking for older varients covered by the Rem3 tool.

 

 

Je continue ?

 

IL y a deux versions de Blacklight (graphical user et commande line) laquelle je télécharge ?

Modifié par onphalos
onphalos Member

onphalos

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai téléchargé le premier

 

voici le rapport :

 

09/21/06 09:04:22 [info]: BlackLight Engine 1.0.46 initialized

09/21/06 09:04:22 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/21/06 09:04:22 [Note]: 7019 4

09/21/06 09:04:22 [Note]: 7005 0

09/21/06 09:04:29 [Note]: 7006 0

09/21/06 09:04:29 [Note]: 7011 1740

09/21/06 09:04:29 [Note]: 7026 0

09/21/06 09:04:30 [Note]: 7026 0

09/21/06 09:04:35 [Note]: FSRAW library version 1.7.1019

09/21/06 09:06:03 [Note]: 2000 1006

09/21/06 09:06:20 [Note]: 7007 0

 

 

et voici le rapport ewido :

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 10:11:40 21/09/2006

 

+ Scan result:

 

 

 

C:\RECYCLER\S-1-5-21-3137575527-4259771119-1881482633-1007\Dc7\new[1].htm -> Not-A-Virus.Constructor.Perl.Msdds.b : Cleaned with backup (quarantined).

C:\Program Files\CoffeeCup Software\CoffeeCup Free HTML Editor\Javascript\BackgroundInfoScroller.xml -> Not-A-Virus.Exploit.IframeJS : Cleaned with backup (quarantined).

C:\Program Files\CoffeeCup Software\CoffeeCup Free HTML Editor\Javascript\DateModification.xml -> Not-A-Virus.Exploit.IframeJS : Cleaned with backup (quarantined).

C:\Program Files\CoffeeCup Software\CoffeeCup Free HTML Editor\Javascript\popup-only-once.xml -> Not-A-Virus.Exploit.IframeJS : Cleaned with backup (quarantined).

C:\Documents and Settings\stefano\Cookies\stefano@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\stefano\Cookies\stefano@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\stefano\Cookies\stefano@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\stefano\Cookies\stefano@overture[1].txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

:mozilla.42:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

:mozilla.43:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

:mozilla.44:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

:mozilla.45:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

:mozilla.46:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

:mozilla.56:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

:mozilla.57:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

:mozilla.58:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\stefano\Cookies\stefano@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

:mozilla.49:C:\Documents and Settings\stefano\Application Data\Mozilla\Firefox\Profiles\znl10zaj.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\WINDOWS\system32\dmxhf.exe -> Trojan.Small.fb : Cleaned with backup (quarantined).

 

 

::Report end

 

 

J'attends éventuellement d'autres instructions.

 

 

Merci encore.

Modifié par onphalos

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...