Scan de HiJackThis, mais après ??

TontonFragger · le 15 mars 2008

Bonjour à tous, j'ai eu récemment un virus que j'ai réussi à supprimer "partiellement" car depuis mon ordinateur est très lent, et surtout ma connection internet ... j'ai utilisé HiJackThis et je ne sais pas quoi faire avec, est-ce que quelqu'un pourrait t-il m'aider ? voici le résultat du scan de HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:14:09, on 15/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\aswUpdSv.exe

D:\Logiciels\avast-antivirus\ashServ.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\WINDOWS\system32\PSIService.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\TEMP\BND.tmp

E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\LOGICI~1\AVAST-~1\ashDisp.exe

D:\Logiciels\Jetico\fwsrv.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

D:\Logiciels\winamp\winampa.exe

D:\Logiciels\Adobe reader 8.10\Reader\Reader_sl.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Logiciels\Olympus master 2\MMonitor.exe

D:\Logiciels\avast-antivirus\ashMaiSv.exe

D:\Logiciels\avast-antivirus\ashWebSv.exe

E:\Program Files\Mozilla Firefox\firefox.exe

D:\Logiciels\avast-antivirus\setup\avast.setup

E:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe

D:\Logiciels\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOT~1\SDHelper.dll

O2 - BHO: MSVPS System - {5EF40AC5-1BBE-4436-A9E3-F129C0D605D8} - E:\WINDOWS\vipextoxn.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: The voipwet - {D4170A6E-8CE3-444B-ACA4-B3A0AF12C55C} - E:\WINDOWS\voipwet.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avast!] D:\LOGICI~1\AVAST-~1\ashDisp.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Logiciels\Jetico\fwsrv.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [NI.UGDCFR_0001_N122M2610] "E:\documents and settings\julien\application data\installer_fr[1].exe"

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] D:\Logiciels\winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciels\Adobe reader 8.10\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [OM2_Monitor] "D:\Logiciels\Olympus master 2\MMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = D:\Logiciels\OfficeXP\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @E:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @E:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer = 192.186.1.1

O20 - Winlogon Notify: WLCtrl32 - E:\WINDOWS\SYSTEM32\WLCtrl32.dll

O21 - SSODL: kopmet - {F322E273-31A8-4081-B2B2-2FF04E978369} - E:\WINDOWS\kopmet.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciels\avast-antivirus\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciels\avast-antivirus\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciels\avast-antivirus\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciels\avast-antivirus\ashWebSv.exe

O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: ProtexisLicensing - Unknown owner - E:\WINDOWS\system32\PSIService.exe

O24 - Desktop Component 0: Privacy Protection - file:///E:\WINDOWS\privacy_danger\index.htm

--

End of file - 8511 bytes

MERCI de votre aide, ça devient vraiment urgent .....

Thanos · le 15 mars 2008

salut et bienvenue sur le forum

1) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat

- Exécute l'option R.

- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

2) Télécharge SmitfraudFix de S!Ri sur ton bureau

Double clique sur SmitfraudFix.exe
Une fenêtre va s'ouvrir, choisis l'option 1
Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.

@++

TontonFragger · le 15 mars 2008

voila, j'ai fais tout cela et voici ce que le rapport annonce :

SmitFraudFix v2.303

Rapport fait à 13:38:59,21, 15/03/2008

Executé à partir de E:\Documents and Settings\Vincent\Mes documents\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\aswUpdSv.exe

D:\Logiciels\avast-antivirus\ashServ.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\WINDOWS\system32\PSIService.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\ashMaiSv.exe

D:\Logiciels\avast-antivirus\ashWebSv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\TEMP\BN11.tmp

E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\LOGICI~1\AVAST-~1\ashDisp.exe

D:\Logiciels\Jetico\fwsrv.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

D:\Logiciels\winamp\winampa.exe

D:\Logiciels\Adobe reader 8.10\Reader\Reader_sl.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Logiciels\Olympus master 2\MMonitor.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Program Files\Windows Live\Messenger\usnsvc.exe

E:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» E:\

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

E:\WINDOWS\nretcip.exe PRESENT !

E:\WINDOWS\privacy_danger PRESENT !

E:\WINDOWS\vipext???.dll PRESENT !

E:\WINDOWS\voipwet.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

E:\WINDOWS\system32\winfrun32.bin PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\Julien\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

E:\Program Files\RichVideoCodec\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="file:///E:\\WINDOWS\\privacy_danger\\index.htm"

"SubscribedURL"=""

"FriendlyName"="Privacy Protection"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

+--------------------------------------------------+

[!] Suspicious: vipextoxn.dll

BHO: MSVPS System - {5EF40AC5-1BBE-4436-A9E3-F129C0D605D8}

TypeLib: {212B4E0F-BEA8-4894-800D-2C7E2EF097AD}

Interface: {60C84877-62D8-4996-88E5-BAF3D115F09F}

Interface: {9924DC07-F8D2-4A19-A396-9871B55612D7}

[!] Suspicious: voipwet.dll

Toolbar: The voipwet - {D4170A6E-8CE3-444B-ACA4-B3A0AF12C55C}

TypeLib: {3DD88B10-20E4-4085-BB2C-5A58B49910A9}

Interface: {6AEA32A1-63D2-4DE6-A1F8-C2132972C15F}

Classe: The voipwet.btgn

Classe: The voipwet.ToolBar.1

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS191 1000/100/10 Ethernet Device - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Thanos · le 16 mars 2008

salut

As tu fait la manipulation avec MSNFix comme indiqué plus haut ? si oui, poste le rapport stp

Continue comme ceci >

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Scan de HiJackThis, mais après ?? (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

*****************

1) Télécharger OTMoveIt2 par OldTimer.

Enregistrer ce fichier sur le Bureau.
Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil.
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
```
E:\WINDOWS\TEMP\BN11.tmp
E:\WINDOWS\SYSTEM32\WLCtrl32.dll
```
Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
```
EmptyTemp
```
Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller.
Cliquer sur le bouton rouge Moveit!.
Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

2) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur. En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

3) Double clique sur SmitfraudFix.exe

Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et presse [Entrée] pour remplacer le fichier corrompu.
Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste stp les rapports de SmitFraudFix (option2) / le rapport de OtMoveIt2 / le rapport de MSNFix/ un nouveau rapport hijackthis.

courage

Modifié le 16 mars 2008 par Thanos

TontonFragger · le 16 mars 2008

voici le rapport de MSNfix que j'ai oublier de poster, je vais continuer à faire ce que tu m'as dit, si j'ai un quelconque problème je te tien au courant

MSNFix 1.684

E:\Documents and Settings\Vincent\Mes documents\MSNFix

Fix exécuté le 15/03/2008 - 13:06:08,37 By Julien

mode normal

************************ Recherche les fichiers présents

... E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

... E:\Documents and Settings\Julien\??????.exe

... E:\Documents and Settings\Julien\????????.exe

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... E:\DOCUME~1\Julien\LOCALS~1\Temp\winlogon.exe

/!\ ... E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

.. OK ... E:\WINDOWS\system32\fsiocu.exe

.. OK ... E:\WINDOWS\system32\vbsxkh.exe

.. OK ... E:\WINDOWS\system32\kxgelc.exe

.. OK ... E:\WINDOWS\system32\brxdoy.exe

/!\ ... E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

/!\ ... E:\Documents and Settings\Julien\??????.exe

/!\ ... E:\Documents and Settings\Julien\????????.exe

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

.. OK ... E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

.. OK ... E:\Documents and Settings\Julien\??????.exe

.. OK ... E:\Documents and Settings\Julien\????????.exe

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 15032008_13353014.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = E:\WINDOWS\system32\userinit.exe,E:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

TontonFragger · le 17 mars 2008

voici dans l'ordre les rapports :

SmitFraudFix
OtMoveIT
HiJackThis

SmitFraudFix v2.303

Rapport fait à 11:54:37,31, 17/03/2008

Executé à partir de E:\Documents and Settings\Vincent\Mes documents\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

E:\WINDOWS\vipextoxn.dll deleted.

E:\WINDOWS\voipwet.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

E:\WINDOWS\nretcip.exe supprimé

E:\WINDOWS\privacy_danger\ supprimé

E:\WINDOWS\system32\winfrun32.bin supprimé

E:\Program Files\RichVideoCodec\ supprimé