Zolob virus recalcitrant!

[Ranma]

Ok voici le rapport smithfraud:

 

SmitFraudFix v2.27

 

Rapport fait à 18:56:16,29, 02/04/2006

Executé à partir de C:\Documents and Settings\fnac\Bureau\Docs divers\smithfraud\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\hp????.tmp PRESENT !

C:\WINDOWS\system32\msvol.tlb PRESENT !

C:\WINDOWS\system32\ncompat.tlb PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac\Favoris

 

C:\Documents and Settings\fnac\Favoris\Antivirus Test Online.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci pour ton aide.

[S.Birkoff]

Bonsoir Ranma,

 

1/

Utilisation ----- option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

2/ Refais un scan complet avec Ewido en mode sans echec et poste moi le rapport je te prie.

 

Bonne soirée

Birkoff

Modifié le 2 avril 2006 par S.Birkoff

[Ranma]

Je vais effectué tes conseils ça risque de prendre un peu de temps je fais ça le plus vite possible. EN tout cas encore merci à toi.

[Ranma]

S. birkoff voici les rapports que tu m'a demandé:

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:42:14, 04/04/2006

+ Somme de contrôle: 480BB3DA

 

+ Résultats du scan:

 

C:\Documents and Settings\fnac\Cookies\fnac@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

je sais pas si ça va t'aider en tout cas merci a toi pour ton aide!

[S.Birkoff]

Bonjour Ranma,

 

Ewido na rien trouvé de méchant, c'est plutot bon signe

 

As tu encore des dysfonctionnements ?

 

On va faire un dernier scan pour s'assurer que tu n'as rien...

 

Fais un scan avec Panda (utilise Internet Explorer pour cela) : http://www.pandasoftware.com/products/acti...CACHEHINT=Guest

 

Poste le rapport qu'il te donnera à la fin je te prie.

 

Bonne soirée

Birkoff

[Ranma]

Voici le rapport panda:

 

 

Incident Status Location

 

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt[]

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\fnac\Bureau\Docs divers\smithfraud\SmitfraudFix\SmitfraudFix\Process.exe

Spyware:Cookie/PointRoll Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@ads.pointroll[1].txt

Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@as1.falkag[1].txt

Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@atdmt[2].txt

Spyware:Cookie/Sextracker Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@counter4.sextracker[1].txt

Spyware:Cookie/Sextracker Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@sextracker[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\fnac\Cookies\fnac@xiti[1].txt

Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Program Files\Common Files\Companion Wizard\WapCHK.dll

 

 

Voila, merci

[S.Birkoff]

Bonsoir Ranma,

 

Panda semble avoir trouvé le programme Winantivirus2006, l'as tu sur ton pc ?

 

Si oui sache que ce programme est un faux logiciel, on va traiter ce problème :

 

1/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
  
• Coche Run VundoFix as a task.
  
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

2/ Assure toi d'avoir accès à tous les fichiers/dossiers cachés (aide : ici)

 

3/ Vérifie que ces dossiers n'existe plus, et supprime si présent :

 

C:\Program Files\Common Files\Companion Wizard<<- le dossier

C:\Program Files\WinAntiVirus2006<<-- le dossier

 

4/ Poste moi le rapport de VundoFix je te prie

 

Bonne soirée

Birkoff