infecté par un cheval de troie

[dam38]

Je suis un peunovice en ordi, j'ai un portable depuis 3 mois et je me suis fait in fecter par un virus sur internet.

J'ai un message d'alerte qui s'affiche à côté de l'horloge et qui me renvoie vers un faux anti spywere sur le web: celui-ci s'appelle spyfalcon.

Je l'ai supprimé dans les programmes sur le panneau de configuration.

J'ai supprimé tout les spy avec ad-aware et spybot + suppression avec avast mais rien à faire ce virus est toujours là.

 

J'ai vu que je pouvais avoir des conseilssur ce site ,je suis vraiment en galère d'avance merci.

[Thanos]

salut dam38

 

ca ressemble fort a une infection par Smitfraud!!

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

 

Poste le rapport ici.Si je ne suis pas là pour le lire,d'autres personnes pourront t'aiguiller! sinon je reviens.... à 2h40 du mat!

Modifié le 15 février 2006 par charles ingals

[dam38]

Je suis impressionné par la vitesse à laquelle tu m'as répondu, merci , en plus tu as l'air de connaître le virus!!

 

Voici le rapport d'erreur:

 

SmitFraudFix v2.21

 

Rapport fait à 23:32:29,96 le 15/02/2006

Executé à partir de C:\DOCUME~1\DAMIEN~1\LOCALS~1\Temp\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\dxmpp.dll PRESENT !

C:\WINDOWS\system32\ld????.tmp PRESENT !

C:\WINDOWS\system32\mscornet.exe PRESENT !

C:\WINDOWS\system32\mssearchnet.exe PRESENT !

C:\WINDOWS\system32\msvol.tlb PRESENT !

C:\WINDOWS\system32\ncompat.tlb PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

 

C:\Documents and Settings\damien desbenoit\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 2.0.lnk PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

C:\Documents and Settings\damien desbenoit\Bureau\SpyFalcon.lnk PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

C:\Program Files\SpyFalcon\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

 

[HKEY_CLASSES_ROOT\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]

@="C:\WINDOWS\system32\dxmpp.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]

@="C:\WINDOWS\system32\dxmpp.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

[ipl_001]

Bonsoir dam38, charles ingals, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Voici la suite puisque charles ingals est indisponible :

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage).

Double cliquer sur smitfraudfix.cmd pour relancer SmitfraudFix

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

Répondre O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui) à la question Corriger le fichier infecté ? pour remplacer le fichier corrompu.

 

Cette étape éliminera les fichiers infectieux détectés à l'étape précédente... je t'avertis que tu peux perdre ton fond d'écran !

 

S'il te plaît, applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

Lorsque tu auras déroulé la procédure indiquée et posté le rapport HijackThis résultant, nous l'analyserons et te dirons que faire !

[dam38]

Merci, spy falcon a disparu;

je ne sais comment vous remercier;

 

maintenant je vais appliquer la procédure pré nettoyage d'un pc infecté;

au fait voici les rapports de supression:

SmitFraudFix v2.21

 

Rapport fait à 11:37:02,84 le 16/02/2006

Executé à partir de C:\Documents and Settings\damien desbenoit\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\dxmpp.dll supprimé

C:\WINDOWS\system32\ld????.tmp supprimé

C:\WINDOWS\system32\mscornet.exe supprimé

C:\WINDOWS\system32\mssearchnet.exe supprimé

C:\WINDOWS\system32\msvol.tlb supprimé

C:\WINDOWS\system32\ncompat.tlb supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\ts.ico supprimé

C:\WINDOWS\system32\1024\ supprimé

C:\Documents and Settings\damien desbenoit\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 2.0.lnk supprimé

C:\Documents and Settings\damien desbenoit\Bureau\SpyFalcon.lnk supprimé

C:\Program Files\SpyFalcon\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

deuxième fois:

 

SmitFraudFix v2.21

 

Rapport fait à 11:45:11,39 le 16/02/2006

Executé à partir de C:\Documents and Settings\damien desbenoit\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé. de la procédure de pré-nettoyage;

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

Je part en we donc je serais la lundi pour vous tenir au courant du pré-nettoyage; encore un grand merci à votre équipe qui donne de son temps pour aider les bites en informatiques. Mais je sens que grâce à votre site je vais apprendre des éléments importants dans l'utilisation de mon pc.

tcho dam