Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

enlever spylocked

rita

Par rita
dans Analyses et éradication malwares

 Partager

Messages recommandés

rita Junior Member

rita

Posté(e)
Posté(e)

bonjour

 

j ai effectué l option 1 de smitfraudfix et je vous envoie ce rapport comme indiqué sur le tutoriel, mais je ne sais pas quoi en faire..........

merci d'avance

 

SmitFraudFix v2.174

 

Rapport fait à 13:41:23,31, 05/05/2007

Executé à partir de C:\Documents and Settings\michael\Bureau\smit\smit2\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\lcsrsrv.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\michael

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\michael\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\michael\Favoris

 

C:\DOCUME~1\michael\Favoris\Online Security Test.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\SpyLocked 3.6\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}"="huet"

 

[HKEY_CLASSES_ROOT\CLSID\{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}\InProcServer32]

@="C:\WINDOWS\system32\lcsrsrv.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}\InProcServer32]

@="C:\WINDOWS\system32\lcsrsrv.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonjour rita !

 

- Télécharge HijackThis de Merijn sur ton bureau.

http://www.merijn.org/files/hijackthis.zip

 

- Génère un rapport en suivant ces indications :

- Double-clic sur hijackthis.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HijackThis -

http://www.malekal.com/tutorial_HijackThis.html

 

1ére étape :

 

Télécharge AVG Anti-Spyware

 

  1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
     
     
  2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
     
     
  3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Télécharger ATF Cleaner par Atribune.

http://www.atribune.org/ccount/click.php?id=1

 

2éme étape : Le nettoyage !

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

http://service1.symantec.com/support/inter...020905112131924

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

 

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

  • AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
     
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre le rapport de Smitfraudfix

-Mettre un nouveau rapport HijackThis

-Poster le rapport AVG Anti-Spyware

-Indiquer si le Pc présente encore des dysfonctionnements

 

A plus et bon courage :P !

rita Junior Member

rita

Posté(e)
  • Auteur
Posté(e)

ca y est, j ai tout fait voilà les rapports

 

SmitFraudFix v2.174

 

Rapport fait à 15:46:16,76, 05/05/2007

Executé à partir de C:\Documents and Settings\michael\Bureau\smit\smit2\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}"="huet"

 

[HKEY_CLASSES_ROOT\CLSID\{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}\InProcServer32]

@="C:\WINDOWS\system32\lcsrsrv.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{f38b1b2b-4976-46dd-9fe5-60fde72f0b4d}\InProcServer32]

@="C:\WINDOWS\system32\lcsrsrv.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

C:\WINDOWS\system32\lcsrsrv.dll -> Hoax.Win32.Renos.gen.m

C:\WINDOWS\system32\lcsrsrv.dll -> Deleted

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\DOCUME~1\michael\Favoris\Online Security Test.url supprimé

C:\Program Files\SpyLocked 3.6\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:40:58, on 05/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\smanager.7.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

c:\program files\panda software\panda internet security 2007\firewall\PSHOST.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\psimsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\PsCtrls.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\WebProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\PavBckPT.exe

C:\Documents and Settings\michael\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

 

-------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:28:10 05/05/2007

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008037.ini -> Adware.Qworke : Ignoré.

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008823.dll -> Downloader.Agent.bkd : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Protection Tools\smunst.exe -> Downloader.Zlob.avg : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Protection Tools\bpmini.exe -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Protection Tools\bpmon.exe -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Protection Tools\spunst.exe -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008055.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008079.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008099.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008113.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP29\A0008139.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP30\A0008161.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008426.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008442.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008466.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008488.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008489.exe -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{7F85217A-E4C4-4332-905D-51B3F4A84EEC}\RP31\A0008509.dll -> Downloader.Zlob.avn : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\svehost.exe -> Trojan.Agent.kq : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

Apperemment, spylocked a disparu

 

merci beaucoup. par contre j ai encore des message me disant de telecharger drivecleaner

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

 

Le rapport hijackthis n'est pas complet peut tu en faire un autre stp ?

 

Ensuite fais ceci :

 

Télécharge SpySweeper - Télécharge SpySweeper - Aide SpySweeper

- Clic sur sur le lien "Free Trial" pour le télécharger tout à droite

- Installe le et démare le

- Il va te demander de télécharger la dernière définition, accepte

- Ensuite, clic sur le bouton Options à gauche

- Clic sur l'onglet Options

- Assure toi que les options suivantes sont cochées :

o Windows Registery

o Memory Object

o Cookies

o System Restore Folder

o Plus bas :

o Sweep all users accounts

o Sweep for rootkis

 

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Démarre SpySweeper

- Clic sur "Sweep Now" à gauche

- Clic sur le bouton "Start"

- Quand le scan est terminé, clic sur le bouton "Next"

- Assure toi que tout est coché et clic sur le bouton "Next"

- Lorsque tous les éléments trouvés ont été supprimés

- Clic sur "Session Log" en haut à droite, copie tous les élements du log.

- Ferme les fenêtres et colle tout le log ici ainsi qu'un log HijackThis

 

 

Aide : N'hésite pas à consulter l'Aide de SpySweeper

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) Spy sweeper

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...