je pense avoir été infecté

[yves13]

Salut,

spybot m'a débarassé des spywares mais je ne suis pas sûr que mon ordi sois vraiment propre.

J'ai fais un scan avec antivirus 2009 et celui-ci m'indique 35 infections, voir le rapport.

On m'a parlé de hijack this mais je ne sais vraiment pas comment ça marche.

Quelqu'un peut-il m'aider ?

Merci.

 

 

Antivirus 2009 system scan report.

Report generated 23.07.2008 17:44:16

 

Type Run type Name Details

Spyware C://windows/system32/iesetup.dll Spyware.IEMonster.d "Steals passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs.

Adware autorun Zlob.PornAdvertiser.ba Adware that displays pop-up/pop-under advertisements of pornographic or online gambling Web sites.

Spyware autorun Spyware.IMMonitor program that can be used to monitor and record conversations in popular instant messaging applications.

Backdoor C://windows/system32/svchost.exe Win32.Rbot.fm An IRC controlled backdoor that can be used to gain unauthorized access to a victim's machine.

Trojan autorun Infostealer.Banker.E Steals sensitive information from the infected computer (e.g. logins and passwords from online banking sessions).

Dialer C://windows/system32/cmdial32.dll Dialer.Xpehbam.biz_dialer A Dialer that loads pornographic material. The url information shows Hardcore Pornographic pages.

Spyware autorun Spyware.KnownBadSites Uses the Windows hosts file to redirect your browser to a malicious site when you try to access a valid site.

Trojan autorun Trojan.Tooso Trojan.Tooso is a trojan which attempts to terminate and delete security related applications.

Trojan C://windows/system32/explorer.exe Trojan.MailGrabber.s Trojan horse that gets access to e-mail accounts on the infected computer.

Trojan C://windows/system32/alg.exe Trojan.Alg.t Trojan program that can compromise your private information stored on the hard drive.

Rogue C://Program Files/TrustedAntivirus TrustedAntivirus A corrupt and misleading anti-virus program that may be usually installed with the help of malcous Trojans and other malware

Rogue C://Program Files/SecurePCCleaner SecurePCCleaner Rogue Security Software: fake Security software that uses deceptive means for installation and purpose.

Trojan C://windows/system32/ Trojan.BAT.Adduser.t This Trojan has a malicious payload. It is a BAT file. It is 1129 bytes in size.

Spyware C://windows/system32/ Spyware.007SpySoftware Program designed to monitor user activity. May be used with or without consent.

Trojan C://windows/hidden/ Trojan.Clicker.EC Trojan.Clicker.EC is an information stealing Trojan that masquerades as a legitimate system file so as to avoid detection and subsequent removal.

Dialer C://windows/hidden/ Dialer.Trafficjam.a Dialer.Trafficjam.a is a premium-rate phone dialer that automatically invokes paid access to various porn-related Web sites.

Trojan hidden autorun Trojan.Poison.J Trojan.Poison.J is a key-logging Trojan for the Windows platform.

Adware Registry Adware.eXact.BargainBuddy A browser helper object that monitors internet browsing sessions in an attempt to redirect search queries and distribute unsolicited advertisements.

Worm C://windows/system32/ Win32.Delbot.AI Win32.Delbot.AI is a worm and IRC backdoor that exploits system and software vulnerabilities in order to provide remote access to the host PC.

Worm C://windows/temp/ Win32.Sdbot.ADN A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.

Trojan C://windows/ Trojan-Dropper.Win32.Agent.bot This Trojan is designed to install and launch other malicious programs on the victim machine without the knowledge or consent of the user.

Worm C://windows/temp/ Win32.Rbot.CBX A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.

Spyware autorun Win32.PerFiler Win32.PerFiler is designed to retrieve and install files when executed. Win32.PerFiler is configured to download from either a designated web or FTP site.

Worm hidden autorun Win32.Miewer.a A Trojan Downloader that masquerades as a legitimate system file. Associated processes connect to the Internet to download additional malicious files

Trojan C://windows/ Trojan-Downloader.VBS.Small.dc This Trojan downloads other files via the FTP protocol and launches them for execution on the victim machine without the user’s knowledge.

Worm autorun Win32.Peacomm.dam A Trojan Downloader that is spread as an attachment to emails with news headlines as the subject lines which downloads additional security threats.

Trojan C://windows/system/drivers/ Win32.Spamta.KG.worm A multi-component mass-mailing worm that downloads and executes files from the Internet.

Trojan C://windows/system/drivers/etc/ Trojan.IRCBot.d a worm that opens an IRC back door on the infected host. It spreads by exploiting the Windows Remote Buffer Overflow Vulnerability.

Trojan C://windows/system/mui/ Trojan.Dropper.MSWord.j A Microsoft Word macro virus that drops a trojan onto the infected host.

Trojan C://windows/system/mui/ Win32.Clagger.C This is small Trojan downloader that downloads files and lowers security settings. It is spreading as an email attachment.

Worm C://windows/system/ Worm.Bagle.CP This is a ""Bagle"" mass-mailer which demonstrates typical ""Bagle"" behavior.

Worm C://windows/ Win32.BlackMail.xx "This dangerous worm will destroy certain data files on an infected user's machine on February 3, 2008.

Trojan hidden autorun Trojan.Win32.Agent.ado Trojan downloader that is spread as an attachment to a spam email and tries to download a password stealer.

Trojan autorun Win32.Outsbot.u A backdoor Trojan that is remotely controlled via Internet Relay Chat (IRC). It exploits Sony Digital Rights Management (DRM) software to hide its presence.

Worm hidden autorun Win32.Sober.P This is a mass-mailing worm that uses its own SMTP engine to spread. It sends itself as an email attachment that mimics an image file.

[angelique]

t'as fait un scan avec ça ??? Oo c'est quoi ton antivirus 2009 kaspersky??

 

http://forum.malekal.com/viewtopic.php?f=56&t=12327

[pear]

Bonjour,

 

'ai fais un scan avec antivirus 2009

 

C'est un rogue, un faux antivirus.

Télécharger SmitfraudFix

Dézipper la totalité de l'archive smitfraudfix.zip

 

Sous Vista

Désactiver l'UAC

Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Il faudra réactiver l'UAC afin de protéger votre ordinateur après la procédure en cours.

Pour cela, recocher l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

Utilisation -----> option 2 -Nettoyage :

Démarrez en mode sans échec(F8 au démarrage)

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

 

 

Si vous êtes Sous Vista:

Désactiver le contrôle des comptes utilisateurs ( le réactiver après la désinfection):

http://forum.malekal.com/viewtopic.php?f=59&t=6517

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

Télécharger Navilog1

 

. et enregistrez-le sur le bureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur avancé.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc-<Connexion secondaire->Démarrage Manuel

Réessayer

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Enregistrer le rapport pour pouvoir le poster

 

Ensuite lancez l'option 2

 

Le fix vous informe qu'il va redémarrer le PC

Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts

Appuyer sur une touche comme demandé.

(si le Pc ne redémarre pas automatiquement, Redémarrer)

Au redémarrage du PC, choisir la session habituelle.

 

Patienter jusqu'au message :

"*** Nettoyage Terminé le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarder le rapport de manière à le retrouver

Refermer le bloc-notes

.Le bureau va réapparaitre

 

Démarrer -> panneau de configuration -> options internet

Cliquer sur l'onglet "Contenu" puis onglet "Certificats"

et si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

=> Supprimez-les tous

 

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

 

Postez les 2 rapports

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1

Ensuite supprimer ce dossier : C:\Program Files\navilog1

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

*

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur

Mais jamais dans un dossier temporaire

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

 

J'attends les rapports.Smitfraudfix, Navilog(2: avant et après l'option 2), Mbam, Hijackthis.

[yves13]

bonsoir,

 

 

merci pour ce coup de main.

Je suis néophyte alors, ça va prendre un peu de temps, d'autant que je dois acheter une imprimante

pour avoir la marche à suivre bien sous les yeux.

 

à bientôt.

[yves13]

salut,

j'ai télechargeé smitfraud à partir de ton lien et j'ai une alerte anti-virus :riskTool.win32.reboot

Que dois-je en penser?

[pear]

Que dois-je en penser?

 

Rien, C'est votre rogue qui prend Smitfraudfix pour un malware.

Désactivez le résident de votre antivirus 2009 ,si vous le pouvez.

[charp]

Rien, C'est votre rogue qui prend Smitfraudfix pour un malware.

Désactivez le résident de votre antivirus 2009 ,si vous le pouvez.

 

 

 

Salut,

je suis parent de yves13 et, j'avoue, c'est moi qui l'aide à se dépatouiller avec son portable sous vista. J'ai pas su me démerder pour installer vnc pour l'aider depuis mon mac et je pars en vacances pour 2 à 3 semaines. Le décors est planté. Le portable est un acer sous vista, nordnet le fournisseur d'accès avec leur anti-virus sécuritoo. C'est lui qui nous parle de risktool(c'est comment qu'on fait pour insérer une capture d'écran, le portable utilise spinning tool). Faut-il le désactiver le temps d'installer smitfraud et le réactiver ensuite? Je conseille à Yves de supprimer sécuritoo pour le remplacer par bitdefender qui me rend bien service sur le pc, ai-je raison?

Je pense qu'il faut virer sécuritoo, le remplacer par bitdéfender, faire un scan , et voir ce que ça dit. C'est la solution la plus "facile", avant de se lancer dans des manips un peu plus compliquées (mais grandement facilitées par tes conseils, pear, je le sais par expérience, gaetanl, sur le pc, merci encore).

Si j'ai pas su installer vnc sur le portable, c'est que ça merde au téléchargement à cause des fenêtres de pub qu'il faut autoriser et ça merde, ça merde. Où est cette option qui permet de ne plus être... emmerdé bordel !!!

@+, merci

[Gof]

bonsoir

 

Pour vous faire avancer en l'absence de Pear, histoire qu'il trouve les rapports demain à son passage.

 

Faut-il le désactiver le temps d'installer smitfraud et le réactiver ensuite? Je conseille à Yves de supprimer sécuritoo pour le remplacer par bitdefender qui me rend bien service sur le pc, ai-je raison?

Oui, il faut ignorer les alertes sur Smitfraudfix, à défaut désactiver les outils responsables des alertes.

 

Pour le remplacement des outils de sécurité, il vaut mieux attendre la fin du traitement des infections particulières. Il sera plus aisé de désinstaller proprement et de réinstaller sainement un outil de sécurité sur un système sain.

 

Bonne désinfection avec Pear