Antivermins, une épidémie ^^ [résolu]

Izoktass · le 3 janvier 2007

Bonjour à toutes et à tous, je suis également infecté par Antivermins, je voulais savoir si je pouvais suivre le tutorial proposé dans les autres cas ou si vous adaptiez vos réponses à chacun des comptes rendus ? Dans ce cas je vous serais reconaissant de bien vouloir m'indiquer jusqu'ou suivre la procédure des autres cas et quels données personnelles je dois fournir pour identifier mon cas.

Merci d'avance

Modifié le 3 janvier 2007 par Izoktass

Mykerinos · le 3 janvier 2007

Salut Izoktass,

Les procédures sont faites en fonction du cas ...

Avertissement

Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...

Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

Télécharge la dernière version d'HijackThis.

Déconnecte-toi d'Internet, dézippe-le et installe-le sur ton Bureau.

Ouvre-le et clique sur "Do a system scan and save a logfile". A la fin du scan, le bloc-notes va s'ouvrir, affichant le rapport ...

Copie/colle l'intégralité de ce rapport et poste-le ici.

Télécharge AVG antispyware 7.5 (version d'évaluation)

Lance AVG et clique sur "Mise à jour" dans la barre d'outils.
Sous "Mise à jour manuelle" clique sur "Commencer la mise à jour".
Une fois la mise à jour terminée, ferme AVG. Ne le lance pas tout de suite.

Télécharge ATF Cleaner (par Atribune).

Télécharge SmitFraudFix (de S!Ri) et dézippe la totalité de l'archive SmitFraudFix.zip sur ton bureau ...

Un tutoriel est disponible sur ce lien.

Note importante : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Utilisation de SmitFraudFix > Option 1 = Recherche :

Double-clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport sur le forum et continue la procédure.

Redémarre ton ordinateur en mode sans échec en suivant la procédure ci-après :

Redémarre ton ordinateur.
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
Choisis ton compte.
Une autre manière en images.

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet "Main", choisis "Select all".
Clique sur le bouton "Empty selected".

- Note importante :

- Si tu utilises le navigateur Firefox : clique Firefox en haut puis "Select all" > "Empty Selected".
- Si tu veux conserver tes mots de passe sauvegardés, clique "No" à l'invite.

- Si tu utilises le navigateur Opera : clique Opera en haut puis "Select all" > "Empty Selected".
- Si tu veux conserver tes mots de passe sauvegardés, clique "No" à l'invite.

Clique "Exit", dans le menu principal pour fermer le programme.
Pour obtenir du Support technique, double-clique sur l'adresse électronique située au bas de chacun des menus.

Relance AVG Antispyware 7.5

Clique sur "Analyse" dans la barre d'outils puis sur "Analyse complète du système". Le scan peut durer donc sois patient.
AVG affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions recommandées".
Clique sur le bouton "Appliquer toutes les actions". AVG affichera "Toutes les actions ont été appliquées", à droite.
Clique sur "Enregistrer le rapport", puis "Enregistrer le rapport sous". Ceci génère un rapport en fichier texte.
Sauvegarde ce rapport dans un endroit sûr (sur ton Bureau, par exemple).

Redémarre en mode normal :

Poste une réponse dans le même sujet (clique sur "Répondre" entre "Flash" et "Nouveau", tout en bas de page!).

Dans cette réponse, j'aimerais :

le rapport de Smitfraudfix.
un nouveau rapport HijackThis.
le rapport AVG Antispyware.

Izoktass · le 3 janvier 2007

Je vous remercie beaucoup Mykerinos, pour la rapidité et la qualité de votre réponse, je m'empresse d'executer votre tutorial et je vous post une réponse dans les plus brefs délais.

Izoktass · le 3 janvier 2007

Tout d'abord, le premier rapport HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 16:34:38, on 03/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Video ActiveX Object\isamonitor.exe

C:\Program Files\Video ActiveX Object\pmsngr.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Video ActiveX Object\pmmon.exe

C:\Program Files\Video ActiveX Object\isamini.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Propriétaire\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jejypubhjdpxrbd.com/SFWjE0ZCOqH...w6iOohasX4.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gbqmqwwedbwfgpxcutkdupc.com/SFWjE0Z...KtRWFqZdpI.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {DB814879-69FC-EE95-020F-A74FF33012A0} - (no file)

O2 - BHO: (no name) - {DE444706-9C00-2134-F68B-CB9F3EB98FB4} - (no file)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:\WINDOWS\system32\cthkpcv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

Puis comme demandé, les trois rapports:

1) le rapport de Smitfraudfix.

SmitFraudFix v2.132

Rapport fait à 16:41:27,34, 03/01/2007

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video ActiveX Object\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"="buprestidae"

[HKEY_CLASSES_ROOT\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}\InProcServer32]

@="C:\WINDOWS\system32\cthkpcv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}\InProcServer32]

@="C:\WINDOWS\system32\cthkpcv.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

2) un NOUVEAU rapport HijackThis.

Logfile of HijackThis v1.99.1

Scan saved at 18:01:26, on 03/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Propriétaire\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jejypubhjdpxrbd.com/SFWjE0ZCOqH...w6iOohasX4.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gbqmqwwedbwfgpxcutkdupc.com/SFWjE0Z...KtRWFqZdpI.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {DB814879-69FC-EE95-020F-A74FF33012A0} - (no file)

O2 - BHO: (no name) - {DE444706-9C00-2134-F68B-CB9F3EB98FB4} - (no file)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:\WINDOWS\system32\cthkpcv.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

3) le rapport AVG Antispyware.

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 17:53:50 03/01/2007

+ Résultat de l'analyse:

C:\Program Files\Video ActiveX Object -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Video ActiveX Object\isaddon.dll -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Video ActiveX Object\isauninst.exe -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Video ActiveX Object\pmuninst.exe -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Video ActiveX Object\uninst.exe -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 -> Adware.IntCodec : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-1417001333-1532298954-682003330-1003\Software\Internet Security -> Adware.IntCodec : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{CF4E2284-4B04-409E-A79D-A4B3C215B74F}\RP1\A0000075.dll -> Adware.WorldSecurityOnline : Nettoyé et sauvegardé (mise en quarantaine).

:mozilla.23:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\eg7k7ppd.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.24:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\eg7k7ppd.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.25:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\eg7k7ppd.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.26:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\eg7k7ppd.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.21:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\eg7k7ppd.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\Propriétaire\Mes documents\Utilitaires\Heroes of Might and Magic III Shadow of Death 3.1 patch .zip/Setup.exe -> Worm.VB.dw : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

En vous remerciant

Izoktass · le 3 janvier 2007

Dois-je effectuer autres choses ? ou cela sufft ? Je ne comprend pas pourquoi l'utilisation régulière d'ad-adware, easycleaner et autres logiciels ne me prémunis pas contre ces menaces venues du web

Modifié le 3 janvier 2007 par Izoktass

pipion · le 3 janvier 2007

Dois-je effectuer autres choses ? ou cela sufft ? Je ne comprend pas pourquoi l'utilisation régulière d'ad-adware, easycleaner et autres logiciels ne me prémunis pas contre ces menaces venues du web

Salut Izoktass

Ben tout simplement (Je ne comprend pas pourquoi l'utilisation régulière easycleaner et autres logiciels) car easyclener, beanclean,diskcleaner et autre sont des néttoyeurs et non des anti truc (lol) pas comme spyboot ou autre

Mykerinos · le 3 janvier 2007

Re ...

Je prépare le reste de la procédure et te la soumets dans un moment ...

Si quelques simples logiciels suffisaient à nous prémunir, ce serait trop beau ...

Et nous ne serions pas là en train d'essayer de se débarrasser de ces saloperies ...

Je te donnerai les conseils élémentaires et indispensables en fin de procédure ...

A tout de suite ...

Modifié le 3 janvier 2007 par Mykerinos

Mykerinos · le 3 janvier 2007

Re ...

Avertissement

Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...

Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

Désactive la restauration système comme expliqué ici.

Télécharge Lopremover et dézippe l'archive sur le Bureau ...

Il se peut que ton antivirus s'affolle, c'est normal, désative-le le temps de l'installation.

Télécharge et installe CCleaner Basic.

Tutoriel par Jesses.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur.
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
Choisis ton compte.
Une autre manière en images.

Utilisation de SmitFraudFix > Option 2 = Nettoyage :

Double-clique sur smitfraudfix.cmd
Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
A la fin du scan, sauvegarde le rapport (Fichier > Enregistrer sous ...) sur le Bureau.

Note importante : Cette étape élimine les fichiers infectieux détectés à l'étape 1 et supprime aussi le fond d'écran !

Ouvre HijackThis et clique sur "Do a system scan only" et coche les lignes suivantes (si présentes) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jejypubhjdpxrbd.com/SFWjE0ZCOqH...w6iOohasX4.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gbqmqwwedbwfgpxcutkdupc.com/SFWjE0Z...KtRWFqZdpI.html

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll

O2 - BHO: (no name) - {DB814879-69FC-EE95-020F-A74FF33012A0} - (no file)

O2 - BHO: (no name) - {DE444706-9C00-2134-F68B-CB9F3EB98FB4} - (no file)

O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:\WINDOWS\system32\cthkpcv.dll

Ferme toutes les fenêtres et quitte toutes les applications en cours puis clique sur "Fix checked"

Affiche tous les fichiers :

Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
Coche la case "Afficher les fichiers et dossiers cachés".
Décoche la case "Masquer les extensions des fichiers dont le type est connu".

Supprime le dossier suivant (en gras) par l'Explorateur Windows (si présent) :

C:\Program Files\Video ActiveX Object <- tout le dossier

Lance CCleaner et fais le nettoyage comme sur le tutoriel ...

Supprime le contenu de la quarantaine AVG Antispyware ...

Lance Lopremover, insère les chiffres dans la case, puis clique sur "UNINSTALL" ...

Il se peut que ton antivirus s'affolle, c'est normal, désative-le temporairement.

Redémarre en mode normal.

Poste une réponse dans le même sujet (clique sur "Répondre" entre "Flash" et "Nouveau", tout en bas de page!).

Dans cette réponse, j'aimerais :

un nouveau rapport HijackThis.
le rapport smitfraudfix.

Je ne vois pas de pare-feu installé ... Il est fortement recommandé d'en installer un.

Celui proposé par le centre de sécurité de Windows XP est insuffisant car il ne surveille pas les connexions sortantes. Désactive-le avant d'installer celui que tu as choisi dans la liste qui suit :

Zone Alarm Free -> Comment le configurer par fbc
Zone Alarm Pro -> Comment le configurer par Tesgaz
Kerio Personel Firewall -> Comment le configurer par Malekal_morte
Outpost Free -> Comment le configurer par Odsen
Jetico -> Comment le configurer par Odsen

Tu peux aussi consulter cette page pour un choix encore plus vaste ...

Tu peux tester ton firewall ici ...

Modifié le 3 janvier 2007 par Mykerinos

Izoktass · le 3 janvier 2007

Merci beaucoup pour vos conseils Mykerinos,

commme demandé :

1) un nouveau rapport HijackThis.

Logfile of HijackThis v1.99.1

Scan saved at 21:53:48, on 03/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Propriétaire\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe