Au secours: Virus Pest trap

[juljul]

j'ai attrapé un virus appelé "pest trap" . mon ordi rame trop et et il y a toujours ces pop-up qui s'affiche. aider moi s'il vous plait.

je vous remercie par avance de vos message et je remercie malekal_morte qui m'avait deja aider.

[juljul]

au fait j'ai deja telecharger : ewido, hijackthis,smit fraud fix.

merci beaucoup pour votre aide.

[bruce lee]

bonjour juljul,

 

Poste un rapport hijackthis + un rapport de smitfraudfix option 1.

 

@+

[juljul]

bonjour juljul,

 

Poste un rapport hijackthis + un rapport de smitfraudfix option 1.

 

@+

 

salut bruce!

merci enormement de m'aider car ca devient vraiment le bordel (fond d'ecran ,lenteur, demarrage plein de pop-ups).

j'ai fait un rapport hijackthis(ci-dessous) mais pour smitfraudfix je me souvient plus comment on fait. je l'ai re-telecharger sur telecharge.com mais quand j'ouvre le dossier ca me met plein de fichier executable et je ne sait pas quoi faire. quand je clique sur "process.exe" ca ouvre une fenetre pendant 3 secondes et apres elle se referme sans faire de rapport. pourrait tu me dire comment on utilise smitfraudfix? j"attend la suite desz intructions a suivre. et merci beaucoup!!

 

Logfile of HijackThis v1.99.1

Scan saved at 17:45:10, on 28/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Adobe\3.0\Apps\apdproxy.exe

C:\WINDOWS\System32\winlogin.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\winlogin32.exe

C:\WINDOWS\System32\atievxx.exe

C:\WINDOWS\System32\ntsystem.exe

C:\WINDOWS\System32\ctfmon32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\winstall.exe

C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\DOCUME~1\SOPHIE\LOCALS~1\Temp\bwgo0000b92e.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\us00.exe

C:\Documents and Settings\SOPHIE\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\System32\hp4759.tmp (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe

O4 - HKLM\..\Run: [user Input Services] C:\WINDOWS\System32\ctfmon32.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKCU\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[bruce lee]

re,

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[juljul]

re,

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe sur ton bureau

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

 

voila le rapport:

 

SmitFraudFix v2.137

 

Rapport fait à 20:46:30,60, 28/01/2007

Executé à partir de C:\Documents and Settings\SOPHIE\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\winstall.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\a.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SOPHIE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SOPHIE\Application Data

 

C:\Documents and Settings\SOPHIE\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SOPHIE\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\SOPHIE\Bureau\PestTrap.lnk PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\PestTrap\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

merci encore.

[juljul]

voila le rapport:

 

SmitFraudFix v2.137

 

Rapport fait à 20:46:30,60, 28/01/2007

Executé à partir de C:\Documents and Settings\SOPHIE\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\winstall.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\a.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SOPHIE

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SOPHIE\Application Data

 

C:\Documents and Settings\SOPHIE\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SOPHIE\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\SOPHIE\Bureau\PestTrap.lnk PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\PestTrap\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci encore.

 

 

 

 

bruce help me!!

[bruce lee]

salut juljul,

 

Supprime hijackthis de ton PC.

 

prends cette version:

 

telecharge et installe hijackthis version francaise http://telechargement.zebulon.fr/license-1-160.html

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/* Double cliquer sur smitfraudfix.exe

* Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

 

4/

Démarrer/panneau de configuration/ajout et suppression de programmes et vérifie la présence de:

 

PestTrap

 

Si ce programme est présent désinstalle-le.

 

 

5/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\System32\hp4759.tmp (file missing)

O4 - HKLM\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKLM\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe

O4 - HKLM\..\Run: [user Input Services] C:\WINDOWS\System32\ctfmon32.exe

O4 - HKCU\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKCU\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

7/Supprime ce qui est en gras:

 

C:\WINDOWS\System32\ winlogin.exe<== le fichier

C:\WINDOWS\System32\ winlogin32.exe<== le fichier

C:\WINDOWS\System32\ ntsystem.exe<== le fichier

C:\WINDOWS\System32\ ctfmon32.exe<== le fichier

C:\ us00.exe<== le fichier

 

NOTE: Dans les fichiers a supprimer ne touche surtout pas à winlogon.exe et à ctfmon.exe

 

rend toi ici:

 

C:\Documents and Settings\SOPHIE\Local Settings\Temp

 

ouvre le dossier Temp et vide tout son contenu.

 

 

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

9/Redémarre en mode normal

 

10/Poste le rapport d'AVG Anti spyware 7.5 et le rapport de smitfraudfix option 2.

 

lance hijackthis et cliques sur faire un scan et sauvegarder le log

le bloc note va s'ouvrir tu fais un copier de tout son contenu

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

Modifié le 29 janvier 2007 par bruce lee

[juljul]

salut juljul,

 

Supprime hijackthis de ton PC.

 

prends cette version:

 

telecharge et installe hijackthis version francaise http://telechargement.zebulon.fr/license-1-160.html

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

3/* Double cliquer sur smitfraudfix.exe

* Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

4/

Démarrer/panneau de configuration/ajout et suppression de programmes et vérifie la présence de:

 

PestTrap

 

Si ce programme est présent désinstalle-le.

5/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\System32\hp4759.tmp (file missing)

O4 - HKLM\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKLM\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe

O4 - HKLM\..\Run: [user Input Services] C:\WINDOWS\System32\ctfmon32.exe

O4 - HKCU\..\Run: [Windows Logon] C:\WINDOWS\System32\winlogin.exe

O4 - HKCU\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [PestTrap] C:\Program Files\PestTrap\PestTrap.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

7/Supprime ce qui est en gras:

 

C:\WINDOWS\System32\ winlogin.exe<== le fichier

C:\WINDOWS\System32\ winlogin32.exe<== le fichier

C:\WINDOWS\System32\ ntsystem.exe<== le fichier

C:\WINDOWS\System32\ ctfmon32.exe<== le fichier

C:\ us00.exe<== le fichier

 

NOTE: Dans les fichiers a supprimer ne touche surtout pas à winlogon.exe et à ctfmon.exe

 

rend toi ici:

 

C:\Documents and Settings\SOPHIE\Local Settings\Temp

 

ouvre le dossier Temp et vide tout son contenu.

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

9/Redémarre en mode normal

 

10/Poste le rapport d'AVG Anti spyware 7.5 et le rapport de smitfraudfix option 2.

 

lance hijackthis et cliques sur faire un scan et sauvegarder le log

le bloc note va s'ouvrir tu fais un copier de tout son contenu

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

 

salut burce!!

merci enormement de ta reponse et de ton aide!!!

j'ai fait tout ce que tu m'a dit et .... apparement le virus est parti!! yes!!!

Merci beaucoup beaucoup!!

mais il y a quand meme quelque remarque:

1)une nouvelle icone est apparue sur le bureau "thumbs.db". quand je veux la supprimer ca me dit que c'est un fichier systeme et que si je la supprime ca peu endommager mon ordi.

2) quand en mode sans echec je fait un scan hijackthis, tu m'as dit de cocher des cases de la liste mais qui ne sont pas présentes dans ma liste : 04-HKCU/../Run[windows installer]/// et 04 HKCU/../[pestTrap] C: Program Files.... c'est normal?

3)quand , en mode sans echec, faut aller dans" options dossiers" je fais tout ce que tu dis et apres avoir cliquer sur "appliquer a tout les dossiers" puis ok il ne se passe rien, alors du coup je ne sait pas faire l'étape 7) "supprime ce qui est en gras:C:/windows....." . mais par contre j'ai pu faire la suite "rend toi dans document settings-local setting". c'est grave que j'ai pas fait cette étape?

 

 

je te joint les 3 rapports en te remerciant encore:

SmitFraudFix v2.137

 

Rapport fait à 16:37:06,34, 31/01/2007

Executé à partir de C:\Documents and Settings\SOPHIE\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 18:08:38 31/01/2007

 

+ Résultat de l'analyse:

 

 

 

C:\WINDOWS\system32\vmmon32.exe -> Backdoor.IRCBot.qu : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\winlogin.exe -> Backdoor.VanBot.s : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP201\A0061701.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP201\A0062897.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP203\A0063658.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP204\A0064657.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP205\A0064729.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP206\A0065729.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{30B4DCE5-A58C-4EE6-B6CA-CD8351B7CF97}\RP206\A0065786.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\SOPHIE\Cookies\sophie@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.14:C:\Documents and Settings\SOPHIE\Application Data\Mozilla\Firefox\Profiles\sr43bd4w.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.15:C:\Documents and Settings\SOPHIE\Application Data\Mozilla\Firefox\Profiles\sr43bd4w.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.16:C:\Documents and Settings\SOPHIE\Application Data\Mozilla\Firefox\Profiles\sr43bd4w.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\[email protected][2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.

C:\Documents and Settings\SOPHIE\Cookies\sophie@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\WINDOWS\system32\ntoskrnl.dll -> Trojan.Agent.rx : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 18:17:36, on 31/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\atievxx.exe

E:\proccedure anti -virus\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Adobe\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

E:\proccedure anti -virus\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\DOCUME~1\SOPHIE\LOCALS~1\Temp\bwgo00014d11.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\wuauclt.exe

E:\proccedure anti -virus\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\proccedure anti -virus\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\proccedure anti -virus\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

 

 

merci!!

[bruce lee]

salut juljul,

 

fais l'étape 7 quand même:

 

 

Supprime ces fichiers:

 

C:\WINDOWS\System32\ winlogin32.exe<== le fichier

C:\WINDOWS\System32\ ntsystem.exe<== le fichier

C:\WINDOWS\System32\ ctfmon32.exe<== le fichier

C:\ us00.exe<== le fichier