virus W32.myzor.FK@yt

[mat28]

bojour a tous j ai en effet ce virus (W32.myzor.FK@yt) et j'aimerai savoir kel est le moyen le plus efficace pour eradiquer celui ci.

quand j' ouvre internet explorer je ne tombe pas pas sur ma page d'acceuil mais sur une page "internet security" accompagné d' un tas de pub telle que spy secure et autre...

j' ai deja essayé de réinstaller internet explorer, de scaner mon disque dur a l 'aide d' un antivirus (avast) mais rien ne change!!!

je ne c' est pas quoi faire a l' aide

merci

[Malekal_morte]

Bonjour,

 

Ton infection s'attrape :

- via des sites pornographiques en téléchargeant de faux codecs pour visualiser des vidéos pornographiques, pour plus d'informations, voir : http://forum.malekal.com/ftopic878.php

- ou via des cracks : http://forum.malekal.com/ftopic4869.php

- ou MySpace : http://forum.malekal.com/viewtopic.php?f=33&t=5754

 

Il faudrait donc faire un peu attention à ce que tu fais sur internet

 

-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 - mirroir http://72.232.135.12/siri/SmitfraudFix.php

(Si tu as Norton Antivirus ou NOD32, désactive le)

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

 

 

ET :

 

 

 

- Télécharge HiJackThis de Merijn sur ton bureau.

- Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste

- Tape Scanner.exe et Appuye sur la touche Entrée.

- Génère un rapport en suivant ces indications :

- Double-clic sur Scanner.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur le Bloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HiJackThis -

[mat28]

merci pour ta réponse MALEKAL.

voici le rapport :

SmitFraudFix v2.241

 

Rapport fait à 18:51:08,85, 26/10/2007

Executé à partir de C:\Documents and Settings\matthieu\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MioNet\MioNetManager.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\MioNet\jvm\bin\MioNet.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\windows\system32\msfpne.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MSNMES~1\msnmsgr.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\VPro500.exe

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\MSN Messenger\livecall.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\WINDOWS\system32\winlogon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\matthieu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\matthieu\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\matthieu\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Fujitsu Siemens Computers WLAN 802.11b/g D1705/D1706 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F98135ED-1714-4475-BC19-F9016CB0A560}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F98135ED-1714-4475-BC19-F9016CB0A560}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F98135ED-1714-4475-BC19-F9016CB0A560}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Malekal_morte]

Vas sur http://upload.malekal.com

clic sur parcourir et sélectionne le fichier : C:\windows\system32\msfpne.exe (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> msfpne.exe )

Ne touche pas au champs "Choisir le dossier de destination"

Clic sur envoyer fichier

 

Poste le rapport HijackThis.

[mat28]

Vas sur http://upload.malekal.com

clic sur parcourir et sélectionne le fichier : C:\windows\system32\msfpne.exe (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> msfpne.exe )

Ne touche pas au champs "Choisir le dossier de destination"

Clic sur envoyer fichier

 

Poste le rapport HijackThis.

 

impossible de trouver le fichier msfpne.exe !

[Malekal_morte]

[*]Télécharge OTMoveIt de OldTimer.

[*]Sauvegarde le sur ton Bureau.

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

C:\windows\system32\msfpne.exe

[*]Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

[*]Clique sur le bouton rouge Moveit!.

[*]Ferme OTMoveIt.

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

 

 

 

 

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

 

- Télécharge sur ton bureau DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

 

ATTENTION : pendant l'analyse, après le rapport catchme sur l'écran rouge, il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran !

 

- Lorsque l'analyse sera terminé... le bloc-note va s'ouvrir.

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller