infection virale

[SeB_Ps2]

Bonjour à tous,

Je ne suis pas très doué en informatique (le strict minimum...).

Et voilà qu'aujourd'hui j'ai besoin de votre aide car j'ai subi l'installation malgré moi d'un soit disant logiciel anti-spyware, nommé ps guard : connexion intempestive sur about bank, message d'alerte de mon antivirus (avk qui n'était malheureusement pas activé lors de l'infestation...) fichiers infectés : wininet.dll

oleext.dll mscornet.exe

Je me suis donc procuré le logiciel hijackthis et voilà le scan :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:47:59, on 11/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Antivirus-Profi-Paket\AVKService.exe

C:\Program Files\Antivirus-Profi-Paket\AVKWCtl.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\msole32.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Antivirus-Profi-Paket\AVKPOP.EXE

C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cegetel.fr.ipercast.net/cegetel2accueil.php3

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: SYSTRAN Toolbar 4.0 - {C2A67A83-B03E-4AC5-9469-E1BE7F9DDF48} - C:\Program Files\SYSTRAN\4_0\Toolbar\IEPlugIn.dll

O3 - Toolbar: UltraBar - {7B49A2A5-B45F-46F3-AC60-2578477671EE} - C:\Program Files\UltraBar\ultrabar.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Antivirus-Profi-Paket\AVKPOP.EXE"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe"

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1107706723864

O16 - DPF: {7B49A2A6-B45F-46F3-AC60-2578477671EE} - http://www.ultrabar.com/user_data/i/r/ircb...st/ultrabar.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C988C8-1FB2-4253-BFE2-E0AE41A6ED3F}: NameServer = 217.19.192.132 217.19.192.131

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\Antivirus-Profi-Paket\AVKService.exe

O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\Antivirus-Profi-Paket\AVKWCtl.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

je vous remercie d'avance et vous prie de m'excusé dans le cas où un autre topic répondais déjà à ma question...@+

[Invité Stonangel]

Bonjour et bienvenue sur Zeb'Sécu, télécharge le Fix de S!Ri

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

Redémarre et communique le nouveau rapport

 

Déroule ensuite la procédure suivante:

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur: megataupe

Modifié le 11 août 2005 par Stonangel

[SeB_Ps2]

Merci de vous interressé à mon cas.

Voici le premier poste de Smitfraud :

 

SmitFraudFix v1.6

 

Rapport fait à 16:21:24,84 le 11/08/2005

Executé à partir de C:\Documents and Settings\S‚bastien Schaeffer\Mes documents\mes fichiers re‡us\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\popuper.exe PRESENT !

C:\WINDOWS\sites.ini PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\hhk.dll PRESENT !

C:\WINDOWS\system32\hp????.tmp PRESENT !

C:\WINDOWS\system32\intell32.exe PRESENT !

C:\WINDOWS\system32\intmon.exe PRESENT !

C:\WINDOWS\system32\msole32.exe PRESENT !

C:\WINDOWS\system32\ole32vbs.exe PRESENT !

C:\WINDOWS\system32\oleext.dll PRESENT !

C:\WINDOWS\system32\shnlog.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\S‚bastien Schaeffer\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

C:\Program Files\PSGuard\ PRESENT!

C:\Program Files\SpySheriff\PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 10/08/2005

!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

 

C:\hiberfil.sys

C:\pagefile.sys

C:\System

C:\WINDOWS\$hf_mig$

C:\WINDOWS\$NtUninstallKB894391$

C:\WINDOWS\$NtUninstallKB899588$

C:\WINDOWS\0.log

C:\WINDOWS\bootstat.dat

C:\WINDOWS\comsetup.log

C:\WINDOWS\Downloaded

C:\WINDOWS\FaxSetup.log

C:\WINDOWS\iis6.log

C:\WINDOWS\imsins.BAK

C:\WINDOWS\imsins.log

C:\WINDOWS\KB893756.log

C:\WINDOWS\KB894391.log

C:\WINDOWS\KB896423.log

C:\WINDOWS\KB899587.log

C:\WINDOWS\KB899588.log

C:\WINDOWS\KB899591.log

C:\WINDOWS\LastGood

C:\WINDOWS\msgsocm.log

C:\WINDOWS\ntdtcsetup.log

C:\WINDOWS\ocgen.log

C:\WINDOWS\ocmsn.log

C:\WINDOWS\SchedLgU.Txt

C:\WINDOWS\setupapi.log

C:\WINDOWS\tsoc.log

C:\WINDOWS\wiadebug.log

C:\WINDOWS\wiaservc.log

C:\WINDOWS\win.ini

C:\WINDOWS\system32\ActiveScan

C:\WINDOWS\system32\AddQuit.ico

C:\WINDOWS\system32\asfiles.txt

C:\WINDOWS\system32\Desktop.ico

C:\WINDOWS\system32\dllcache

C:\WINDOWS\system32\Help.ico

C:\WINDOWS\system32\IE.ico

C:\WINDOWS\system32\intell32.exe

C:\WINDOWS\system32\l4F91.tmp

C:\WINDOWS\system32\l5A17.tmp

C:\WINDOWS\system32\Open.ico

C:\WINDOWS\system32\Quick.ico

C:\WINDOWS\system32\Restore

C:\WINDOWS\system32\Uninstall.ico

 

C:\WINDOWS\system32\wininet.dll infecté !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est D8B7-D5EA

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

 

29/09/2004 20:47 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE

 

27/01/2005 19:12 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

 

02/05/2005 22:58 663ÿ040 wininet.dll

1 fichier(s) 663ÿ040 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

 

10/03/2005 09:48 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$

 

30/08/2002 14:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

 

19/08/2004 17:09 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$

 

29/09/2004 20:49 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$

 

10/03/2005 10:04 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$

 

27/01/2005 19:14 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\ServicePackFiles\i386

 

19/08/2004 17:09 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\106665535e6a815507dfdb1a3cf46912\sp2gdr

 

03/07/2005 04:16 662ÿ528 wininet.dll

1 fichier(s) 662ÿ528 octets

 

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\106665535e6a815507dfdb1a3cf46912\sp2qfe

 

03/07/2005 04:10 663ÿ552 wininet.dll

1 fichier(s) 663ÿ552 octets

 

R‚pertoire de C:\WINDOWS\system32

 

02/05/2005 22:57 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

[Invité Stonangel]

Re, démarre en mode sans échec, entre 2 et poste le rapport s'il te plaît.

[SeB_Ps2]

je suis désolé de ne pas répondre plus rapidement, je suis avec mes deux enfants et ma femme est rentrée du boulot juste depuis quelques minutes...

alors voici le second rapport :

 

SmitFraudFix v1.6

 

Rapport fait à 18:24:36,61 le 11/08/2005

Executé à partir de C:\Documents and Settings\S‚bastien Schaeffer\Mes documents\mes fichiers re‡us\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\popuper.exe supprimé

C:\WINDOWS\sites.ini supprimé

C:\WINDOWS\system32\hhk.dll supprimé

C:\WINDOWS\system32\hp????.tmp supprimé

C:\WINDOWS\system32\intell32.exe supprimé

C:\WINDOWS\system32\intmon.exe supprimé

C:\WINDOWS\system32\msole32.exe supprimé

C:\WINDOWS\system32\ole32vbs.exe supprimé

Problème suppression C:\WINDOWS\system32\oleext.dll

C:\WINDOWS\system32\shnlog.exe supprimé

 

C:\Program Files\PSGuard\ supprimé

C:\Program Files\SpySheriff\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

 

C:\WINDOWS\system32\wininet.dll infecté !

 

Recherche d'une copie de secours (backup) de wininet.dll...

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est D8B7-D5EA

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

 

29/09/2004 20:47 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE

 

27/01/2005 19:12 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

 

02/05/2005 22:58 663ÿ040 wininet.dll

1 fichier(s) 663ÿ040 octets

 

R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

 

10/03/2005 09:48 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$

 

30/08/2002 14:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

 

19/08/2004 17:09 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$

 

29/09/2004 20:49 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$

 

10/03/2005 10:04 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$

 

27/01/2005 19:14 660ÿ992 wininet.dll

1 fichier(s) 660ÿ992 octets

 

R‚pertoire de C:\WINDOWS\ServicePackFiles\i386

 

19/08/2004 17:09 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\106665535e6a815507dfdb1a3cf46912\sp2gdr

 

03/07/2005 04:16 662ÿ528 wininet.dll

1 fichier(s) 662ÿ528 octets

 

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\106665535e6a815507dfdb1a3cf46912\sp2qfe

 

03/07/2005 04:10 663ÿ552 wininet.dll

1 fichier(s) 663ÿ552 octets

 

R‚pertoire de C:\WINDOWS\system32

 

02/05/2005 22:57 662ÿ016 wininet.dll

1 fichier(s) 662ÿ016 octets

 

Fichier trouvé : C:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll

Version System : 6.0.2900.2668

Version BackUp : 6.0.2900.2668

 

Remplacement wininet.dll (reboot necessaire)

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

 

 

 

voilà @+

[Invité Stonangel]

Re, effectue la procédure s'il te plaît

[SeB_Ps2]

voilà le résultat du 2iem nettoyage (j'ai déplacé Smitfraud sur le bureau...) :

 

 

 

SmitFraudFix v1.6

 

Rapport fait à 19:57:22,59 le 11/08/2005

Executé à partir de C:\Documents and Settings\S‚bastien Schaeffer\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\intell32.exe supprimé

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

 

 

voilà.

Je couche les enfants (on couche les enfants...)

et je suis à nouveau là...

[Invité Stonangel]

Désolé, je me suis mal exprimé. Ceci:

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur: megataupe

[SeB_Ps2]

pour antivir c'est bien ceci que je dois télécharger ?

 

AntiVir Workstation PersonalEdition - all in one package

[Invité Stonangel]

Non, cette version:

 

AntiVir PersonalEdition for Windows 98/ME & NT/2000/XP