[Malware] Your computer is infected!

[Rockfire]

Bonjour,

Cela fait 2 jours que je galère avec cette petite croix blanche, ayant pour fond une boule rouge dans la barre d'outils.

 

Cette petite boule, semblant inoffensive, lance une info-bulle toutes les 5 à 30 secondes (des fois, elle n'a pas envie d'en mettre, des fois si).

 

Le texte de l'info-bulle est :

Your computer is infected!

 

Windows has detected spyware infection!

 

It is recomended to use special antispyware tools to pervent

data loss. Windows will now download and install the most

up-to-date antispyware for you.

 

Click here to protect your computer from spyware!

 

(J'ai volontairement souligné les fautes d'orthographe)

C'est donc en cliquant dessus, qu'un logiciel se charge, mais bien sur, j'arrête le chargement avant que la barre ne soit pleine.

En relisant plusieurs fois le message, j'ai compris qu'il y avait des fautes d'orthographe.

 

Je suis allé sur de nombreux sites, tous disaient :

-Faire un scan puis une éradication avec SmitFraud : fait, le problème persiste

-Lancer un rapport HiJackThis : problème, HiJackThis ne fonctionne pas, ni en mode normal, ni en mode sans échec

-Télécharger l'anti-"anti-malware Spyaxe", sans succès

 

Mon antivirus est Antivir!, il trouve un fichier "bravax.exe" localisé dans C:/WINDOWS, mais ne le supprime pas.

J'ai Spyware Doctor, lui aussi trouve ce fichier, mais ne le supprime pas.

 

J'ai trouvé ce fichier, essayé de le supprimer manuellement (ça a marché ), mais au reboot du PC, il était encore là

 

 

C'est donc, désespéré, que j'attends votre aide .

 

Merci d'avance,

Rockfire, qui voudrait bien pouvoir jouer à Guild Wars sans lag

Modifié le 1 avril 2008 par Rockfire

[Rockfire]

SmitFraudFix v2.309

 

Rapport fait à 17:58:38,87, 01/04/2008

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\Programmes\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\spools.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\e4mserv.exe

C:\WINDOWS\system32\srksrv.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="cru629.dat"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 0.0.0.0

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8067540C-AC18-4C04-943E-1D6E2EE72B94}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{8067540C-AC18-4C04-943E-1D6E2EE72B94}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\..\{8067540C-AC18-4C04-943E-1D6E2EE72B94}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS3\Services\Tcpip\..\{8067540C-AC18-4C04-943E-1D6E2EE72B94}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

EDIT : Voici le rapport d'analyse de SmitFraudFix

 

EDIT2 : Désolé, j'ai pas cliqué sur Edit :s Un modo pourrait fusionner les 2 messages svp ?

Modifié le 1 avril 2008 par Rockfire

[pear]

Bonjour,

 

# Si vous utilisez Antivir (ce qui est recommandé), vous devez désactiver la protection en temps réel, Antivir détecte certains composant de navilog1 comme néfaste.

 

* Pour cela, faites un clic droit sur l'icône Antivir en bas à droite à côté de l'horloge puis Disable Guard.

Sous Vista:

Désactiver le contrôle des comptes utilisateurs ( le réactiver après la désinfection):

http://forum.malekal.com/viewtopic.php?f=59&t=6517

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Télécharger maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

. et enregistrez-le sur lebureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

 

 

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Poster le rapport

 

[Rockfire]

Bonjour,

 

# Si vous utilisez Antivir (ce qui est recommandé), vous devez désactiver la protection en temps réel, Antivir détecte certains composant de navilog1 comme néfaste.

 

* Pour cela, faites un clic droit sur l'icône Antivir en bas à droite à côté de l'horloge puis Disable Guard.

Sous Vista:

Désactiver le contrôle des comptes utilisateurs ( le réactiver après la désinfection):

http://forum.malekal.com/viewtopic.php?f=59&t=6517

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Télécharger maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

. et enregistrez-le sur lebureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

 

 

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Poster le rapport

 

 

 

Il y a un problème :

J'ai désactivé tous les pare-feu (Windows, Spyware Doctor, Antivir) et pourtant, lorsque j'exécute le programme en tant qu'administrateur, rien ne se passe

 

Au secours ! :'(

[pear]

Vous pouvez lancer un Hijackthis ?

 

* Téléchargez Hijackthis de TrendMicro.

http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

* Décompressez le dans un dossier à la racine du disque dur

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

[Rockfire]

Vous pouvez lancer un Hijackthis ?

 

* Téléchargez Hijackthis de TrendMicro.

http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

* Décompressez le dans un dossier à la racine du disque dur

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

 

 

Sur les 3 liens qui étaient sur ta page, les 3 téléchargent niquel.

 

EDIT : Antivir détecte braviax.exe, c'est un Trojan TR/Crypt.XPACK.Gen.

 

Je ne comprends tout ce qui ce dit sur ce trojan quand je clique sur le lien.

 

Quand je lance l'installeur, ca marche, mais quand je lance HJT, ca ne lance rien

Quand je lance le .zip, ca dézippe, mais quand je lance HJT, ca ne lance rien

Quand j'exécute le .exe, HJT ne se lance pas

 

:/ J'ai pas super envie du reformatage car j'ai perdu mon disque n_n''

A+

Rock

Modifié le 1 avril 2008 par Rockfire

[pear]

Vous avez fait cela;

renommer ce dossier par exemple Karcher

[Rockfire]

Ca y est :

Voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:07:38, on 01/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\spools.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\e4mserv.exe

C:\WINDOWS\system32\srksrv.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Gimp Pack Mode\lib\gimp\2.0\plug-ins\sobel.exe

C:\karcher.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [braviax] braviax.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Administrateur\Local Settings\Application Data\cftmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\cftmon.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [WintelUpdate] C:\WINDOWS\TEMP\1778.tmp.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O20 - AppInit_DLLs: cru629.dat

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: E4M service (e4mservice) - Unknown owner - C:\WINDOWS\SYSTEM32\e4mserv.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: PoliceService - Unknown owner - C:\WINDOWS\system32\srksrv.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

--

End of file - 7549 bytes

Modifié le 1 avril 2008 par Rockfire

[pear]

Bonsoir,

 

Copiez /collez les lignes suivantes dans le bloc notes, sans ligne blanche au début,

enregistrez, sur le bureau, sous regit.reg et fusionnez(clic droit sur fichier)

Acceptez la modification du régistre.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"ntuser"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"braviax"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ntuser"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]

"autoload"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\WLCtrl32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]

 

 

Supprimez ces fichiers:

c:\windows\system32\drivers\spools.exe

c:\documents and settings\administrateur\local settings\application data\cftmon.exe

c:\documents and settings\localservice.autorite nt\local settings\application data\cftmon.exe

c:\windows\system32\wlctrl32.dll

 

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas:

Démarrer->Exécuter

Copiez/collez ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

Et unnouvel Hijackthis, svp.

[Rockfire]

Bonsoir,

 

Il y a 2 problèmes :

-Le problème "mineur", c'est que c:\windows\system32\wlctrl32.dll ne peut être supprimé (j'ai essayé en mode sans échec et mode normal, ca ne marchait pas)

-Le second, c'est que le fichier d'installation de SDFix ne se lance pas, donc je ne peux même pas entrer %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe via l'invite de commande, puis qu'il n'est pas installé.

 

Voulez-vous tout de même un rapport Hijackthis ?

Modifié le 1 avril 2008 par Rockfire