virusprotecpro

[papyclaude]

comment faire pour m'en debarrasser car je suis novice j'ai essayé de lire tous les rmedes sur le forum mais je suis largué au secours papyclaude

[Thanos]

salut

 

Poste ces deux rapports stp >

 

1) Télécharge HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  
• Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.
  

2) Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

@+

[papyclaude]

salut

 

Poste ces deux rapports stp >

 

1) Télécharge HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  
• Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.
  

2) Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

@+

 

 

 

 

ok sympa mais je comprend pas tout ce qui est écris car je suis tres tres novice et que veux dire "dans ta prochaine réponse" merci mais n'y aurait-il pas un autre moyen + simple de me virer ce virusprotectopro ? OU ALORS M'ASSITER PAR PHONE CAR JE CROIS QUE JE SUIS PAS CAPABLE DE FAIRE CELA TOUT SEUL

salutations papyclaude

[Thanos]

salut

 

ok sympa mais je comprend pas tout ce qui est écris car je suis tres tres novice et que veux dire "dans ta prochaine réponse"

Je veux dire, suis les indications, des rapports vont être générés par les outils que je te demande de télécharger, viens les poster ici, dans cette discussion.

OU ALORS M'ASSITER PAR PHONE CAR JE CROIS QUE JE SUIS PAS CAPABLE DE FAIRE CELA TOUT SEUL

Je suis désolé papyclaude, mais ca n'est pas faisable!!Essaie de faire les manipulations demandées et dis moi quelles difficultés tu rencontres.Est ce que tu ne peux pas te faire aider?

 

@+ tard

[papyclaude]

salut

Je veux dire, suis les indications, des rapports vont être générés par les outils que je te demande de télécharger, viens les poster ici, dans cette discussion.

 

Je suis désolé papyclaude, mais ca n'est pas faisable!!Essaie de faire les manipulations demandées et dis moi quelles difficultés tu rencontres.Est ce que tu ne peux pas te faire aider?

 

@+ tard

merci encore, je dois partir aujourd'hui pour deux jours j'essayerai ou dimanche ou lundi de faire une copie et de te l'envoyer bon week-end a+ papyclaude

[papyclaude]

merci encore, je dois partir aujourd'hui pour deux jours j'essayerai ou dimanche ou lundi de faire une copie et de te l'envoyer bon week-end a+ papyclaude

Logfile of HijackThis v1.99.1

Scan saved at 16:08:34, on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\PROGRA~1\PACKSE~1\361343\Program\SERVIC~1.EXE

C:\Program Files\Pack Securite\361343\program\fsbwsys.exe

C:\Program Files\Common\FSMA32.EXE

C:\Program Files\Common\FSMB32.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Common\FCH32.EXE

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Common\FAMEH32.EXE

C:\Program Files\FSPC\fspc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Fichiers communs\AOL\1164910896\ee\AOLSoftware.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\neuf_VOD\neuf_VOD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\InterVideo\DVD5R\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Pack Securite\361343\Program\fspex.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\DOCUME~1\CLAUDE\LOCALS~1\Temp\Répertoire temporaire 7 pour hijackthis.zip\HijackThis.exe

 

scqc'est ok ????

[Thanos]

salut

 

Non le rapport n'est pas complêt!! poste le en entier stp ! Suis la démonstration que voici pour t'aider >

http://pageperso.aol.fr/balltrap34/demohijack.htm

 

Tu as oublié de poster le second rapport SmitFraudFix.

 

Courage

[papyclaude]

salut

 

Non le rapport n'est pas complêt!! poste le en entier stp ! Suis la démonstration que voici pour t'aider >

http://pageperso.aol.fr/balltrap34/demohijack.htm

 

Tu as oublié de poster le second rapport SmitFraudFix.

 

Courage

 

 

salut

 

Non le rapport n'est pas complêt!! poste le en entier stp ! Suis la démonstration que voici pour t'aider >

http://pageperso.aol.fr/balltrap34/demohijack.htm

 

Tu as oublié de poster le second rapport SmitFraudFix.

 

Courage

SmitFraudFix v2.204

 

Rapport fait à 6:45:43,65, 20/07/2007

Executé à partir de C:\Documents and Settings\CLAUDE\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\PROGRA~1\PACKSE~1\361343\Program\SERVIC~1.EXE

C:\Program Files\Pack Securite\361343\program\fsbwsys.exe

C:\Program Files\Common\FSMA32.EXE

C:\Program Files\Common\FSMB32.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Common\FCH32.EXE

C:\Program Files\Common\FAMEH32.EXE

C:\Program Files\FSPC\fspc.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\AOL\1164910896\ee\AOLSoftware.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\neuf_VOD\neuf_VOD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\windows\system32\fkzndthv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\InterVideo\DVD5R\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Pack Securite\361343\Program\fspex.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CLAUDE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CLAUDE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CLAUDE\Favoris

 

C:\DOCUME~1\CLAUDE\Favoris\Online Security Test.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\Video ActiveX Access\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{33b8d257-07f6-4c06-8605-94bc21728635}"="discommodiousness"

 

[HKEY_CLASSES_ROOT\CLSID\{33b8d257-07f6-4c06-8605-94bc21728635}\InProcServer32]

@="C:\WINDOWS\system32\onljweo.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{33b8d257-07f6-4c06-8605-94bc21728635}\InProcServer32]

@="C:\WINDOWS\system32\onljweo.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"LoadAppInit_DLLs"=dword:00000001

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2977B107-0E27-4B35-B298-25BAFB42CB0F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2977B107-0E27-4B35-B298-25BAFB42CB0F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{2977B107-0E27-4B35-B298-25BAFB42CB0F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Thanos]

salut

 

1) Double clique sur SmitfraudFix.exe

• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
  

2) Poste le rapport de SmitFraudFix et refais un rappport hijackthis : poste le en entier stp

 

Il va falloir laisser eMule de côté papyclaude...

 

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

 

@+ tard

[papyclaude]

salut

 

1) Double clique sur SmitfraudFix.exe

• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
  

2) Poste le rapport de SmitFraudFix et refais un rappport hijackthis : poste le en entier stp

 

Il va falloir laisser eMule de côté papyclaude...

 

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

 

@+ tard

boujour tout d'abord ,papy est rentré de week-end en espérant que le tien c'est bien passé; merci pour ton dernier mail ,mais j'ai un soucis ,quand je vais dans " programes files" pour trouver SmitfraudFix. exe et que double clique dessus il me demande si je veux l'executer??peut-etre que j'ai rien capté ( c'est fort possible) pour ce qui est d'emule je l'ai virer dans l'instant ou tu m'a sdit que c'était un pollueur, merci encore de ton aide et si tu peux faire encore qq chose^pour moi c'est sympa a plus

papyclaude