Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection virus et trojan

durandale

Par durandale
dans Analyses et éradication malwares

 Partager

Messages recommandés

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

j'ai analysr ton rapport pour moi il y a ca de mauvais:

 

wininet.dll = dfrgsrv.exe

nvctrl.exe = nvctrl.exe

kernel32.dll = C:\WINDOWS\system32\mssearchnet.exe

 

et je pense qu'il faudra soit supprimer via le registre ou passer smitfraudfix mais comme je ne suis pas sur attend l'expert qui est charles

Modifié par bruce lee

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re

 

yes! on va lancer smitfraudfix!! bien vu!=>

 

1. Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

 

Poste le rapport ici.

 

2. Crées un fichier avec le bloc note et colle ce texte dedans :(un reste de LOP à virer!)

@echo off
cd C:\WINDOWS\Tasks
attrib -r -s -h AA046C1D91B3E1C9.job
attrib -r -s -h AC99E331918A9561.job
del AA046C1D91B3E1C9.job
del AC99E331918A9561.job
exit

- Dans le menu "Fichier":"Enregistrer sous"

- Enregistrer dans : Bureau

- Nom du fichier : remlop.bat

- Type : tous les fichiers

- cliquer sur Enregistrer

- quitter Notepad

 

Double clique sur le fichier remlop.bat : une fenêtre va s'ouvrir rapidement,c'est normal.Elimine le fichier.

Modifié par charles ingals
durandale Member

durandale

Posté(e)
  • Auteur
Posté(e)

re

 

yes! on va lancer smitfraudfix!! bien vu!=>

 

1. Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

 

Poste le rapport ici.

 

2. Crées un fichier avec le bloc note et colle ce texte dedans :(un reste de LOP à virer!)

@echo off
cd C:\WINDOWS\Tasks
attrib -r -s -h AA046C1D91B3E1C9.job
attrib -r -s -h AC99E331918A9561.job
del AA046C1D91B3E1C9.job
del AC99E331918A9561.job
exit

- Dans le menu "Fichier":"Enregistrer sous"

- Enregistrer dans : Bureau

- Nom du fichier : remlop.bat

- Type : tous les fichiers

- cliquer sur Enregistrer

- quitter Notepad

 

Double clique sur le fichier remlop.bat : une fenêtre va s'ouvrir rapidement,c'est normal.Elimine le fichier.

remoi pour vous dire que j'arrive pas dézipper entièrement smit et comment faire pour coller le texte ?? merci à plus durandale

ulukai Junior Member

ulukai

Posté(e)
Posté(e)

Juste une petite info...

 

Le fichier 'nvctrl.exe', pour ma part, a été installé avec le soi-disant logiciel qui m' foutu la merde dans le pc 'Spywarequake' et donc tout ce qui s'en suit... Pour moi, il y avait d'autres petits fichiers l'accompagnant et poluant le répertoire 'system32'. J'ai pu m'en rendre compte grâce à SmitFraudFix et les éradiquer avec...

(voir ma rubrique ''Spywarequake! Et oui encore un...'')

 

Juste une info si ça peut aider!

durandale Member

durandale

Posté(e)
  • Auteur
Posté(e)

Juste une petite info...

 

Le fichier 'nvctrl.exe', pour ma part, a été installé avec le soi-disant logiciel qui m' foutu la merde dans le pc 'Spywarequake' et donc tout ce qui s'en suit... Pour moi, il y avait d'autres petits fichiers l'accompagnant et poluant le répertoire 'system32'. J'ai pu m'en rendre compte grâce à SmitFraudFix et les éradiquer avec...

(voir ma rubrique ''Spywarequake! Et oui encore un...'')

 

Juste une info si ça peut aider!

resalut juste pour vous dire que le trojan est parti ou alors il est bien plaqué par contre dans tous mes dossiers j'ai des fichiers desktop et thumbs en flou que dois je faire avec et encore une fois puis je supprimer tout ce qui ne m'interresse plus et qui a servi à nettoyer mon pc?? est-ce que en mode sans échec je dois remettre le configuration du départ c'est à dire désactiver les fichiers cachés et autres merci encore et bon travail à plus pour une réponse durandale :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut durandale :-(

 

juste pour vous dire que le trojan est parti ou alors il est bien plaqué

La désinfection n'est pas finie durandale!!! :-P

 

Je reviens sur le problème que tu as rencontré =>

j'arrive pas dézipper entièrement smit et comment faire pour coller le texte ?? merci à plus durandale

 

Est ce que tu as réussi à dézipper(décompresser) le fichier SmitfraudFix ?? c'est très important!

Si oui , suis bien les indications et poste le rapport obtenu avec l'option 1

Je te recolle la manip:

 

*Dézippe la totalité de l'archive dans un répertoire, double clique sur Smitfraudfix.cmd

*Dans le menu, sélectionne 1

 

Poste le rapport ici.

 

Dans ton précédent rapport hijackthis; on voit bien la présence de smitfraud: il n'est pas parti tout seul, c'est impossible :P

 

j'ai des fichiers desktop et thumbs en flou

C'est normal: tous les dossiers et fichiers cachés sont apparents pour te permettre d'éliminer les fichiers infectés (qui sont très souvent cachés !).C'est pour cela que bruce lee t'avait demandé de les rendre visibles!Ne les efface pas bien sûr!

 

Laisse les affichés pour le moment et surtout poste le rapport de l'option 1 obtenu avec smitfraudfix!!

Pour l'instant l'infection est toujours présente.

 

Allez ,au boulot :P et si tu rencontres le moindre souci, moi ou un autre conseiller te guidera :P

Modifié par charles ingals
durandale Member

durandale

Posté(e)
  • Auteur
Posté(e)

salut durandale :-(

La désinfection n'est pas finie durandale!!! :-P

 

Je reviens sur le problème que tu as rencontré =>

Est ce que tu as réussi à dézipper(décompresser) le fichier SmitfraudFix ?? c'est très important!

Si oui , suis bien les indications et poste le rapport obtenu avec l'option 1

Je te recolle la manip:

 

*Dézippe la totalité de l'archive dans un répertoire, double clique sur Smitfraudfix.cmd

*Dans le menu, sélectionne 1

 

Poste le rapport ici.

 

Dans ton précédent rapport hijackthis; on voit bien la présence de smitfraud: il n'est pas parti tout seul, c'est impossible :P

C'est normal: tous les dossiers et fichiers cachés sont apparents pour te permettre d'éliminer les fichiers infectés (qui sont très souvent cachés !).C'est pour cela que bruce lee t'avait demandé de les rendre visibles!Ne les efface pas bien sûr!

 

Laisse les affichés pour le moment et surtout poste le rapport de l'option 1 obtenu avec smitfraudfix!!

Pour l'instant l'infection est toujours présente.

 

Allez ,au boulot :P et si tu rencontres le moindre souci, moi ou un autre conseiller te guidera :P

ok j'ai essayé avec winzip impossible d'ouvrir alors j'ai téléchargé filzip je poste le rapport txt et j'attends merci d'être patient avec moi SmitFraudFix v2.28

 

Rapport fait à 18:16:49,67, 05/04/2006

Executé à partir de C:\Documents and Settings\Loup\Mes documents\Dossier setup\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\hp????.tmp PRESENT !

C:\WINDOWS\system32\ncompat.tlb PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Loup\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Loup\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

 

[HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\system32\ginuerep.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\system32\ginuerep.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

voilà à vous de jouer et me dire si j'ai bien fait à plus durandale :P

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

bonjour,

 

pour faire avancer un peu:

 

Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et poste le rapport.

 

bonne continuation a vous deux :P

durandale Member

durandale

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

pour faire avancer un peu:

 

Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et poste le rapport.

 

bonne continuation a vous deux :P

ah que recoucou voilà le rapport y at"'il encore des trucs à faire ?? à plus SmitFraudFix v2.28

 

Rapport fait à 19:19:30,42, 05/04/2006

Executé à partir de C:\Documents and Settings\Loup\Mes documents\Dossier setup\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\hp????.tmp supprimé

C:\WINDOWS\system32\ncompat.tlb supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\ts.ico supprimé

C:\WINDOWS\system32\1024\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...