"Your computer is infected!...Critical System Error..."

[The_best_killer]

Bonjour,

Bon et bien voila mon probleme, j'ai depuis un petit moment une petite icone dans ma barre des taches qui clignote vert et rouge avec marqué "Virus Alert!" lorsque je passe la souris dessus et qui m'affiche le message suivant lorsque l'on clique dessus ou tout seul parfois, je vous ai fait une impression d'écran pour que vous puissiez mieux comprendre la chose :

 

J'avais déja eu a peu pres le meme probleme précédement sauf que le message n'était pas encadré de rouge mais de bleu, j'avais réussi a l'enlever sans trop de difficultés grace à ce topique : >> cliquez ici <<

 

Donc j'ai voulu retenter la meme opération, jai reboot en mode sans echec et je me suis assuré que les autres programmes étaient bien désinstallés mais ce n'était plus "SpywareQuake" mais "SpyFalcon" mais apres sa suppression il n'a plus réapparut.

Alors ensuite il était indiqué de supprimer le fichier "C:\Windows\System32\stickrep.dll" mais malheuresement je ne l'ai pas trouvé

J'ai également supprimé les fichiers suivant ds le repertoire System32 qui me semblaient bizzare : "atmclk.exe" et "dcomcfg.exe" qui je précisent, sont encor dans ma corbeille.

 

A mon avis ce doit etre une variante ou un truc du genre mais je n'ai vraiment aucune idée de comment m'en débarrasser donc si quelqu'un pourrai m'aider ce serait vraiment gentil de sa part.

 

 

Et puis avant qu'on me le demande j'ai téléchargé hijackthis et j'ai sauvegardé un rapport que je vous ai copié collé ci dessous :

 

--------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 0:42:02, on 30/04/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nprotect32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Shareaza\Shareaza.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Program Files\StealthBot\StealthBot v2.6R3.exe

C:\Documents and Settings\geoffroy\Bureau\w3hph.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\geoffroy\Bureau\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

 

prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} -

 

C:\WINDOWS\System32\hpE2E0.tmp (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -

 

C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: e-zshopper 1.200 - {3D782BB3-F2A5-11D3-BF4C-000000000000} -

 

C:\Program Files\e-zshopper\BarLcher.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

 

files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control

 

Panel\atiptaxx.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra

 

Jukebox\LyraHD2TrayApp\LYRAHD2TrayApp.exe"

O4 - HKLM\..\Run: [LyraHDProfiler] "C:\Program Files\Thomson\Lyra

 

Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash

 

/minimized

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

 

/WinStart

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program

 

Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\RunServices: [Winstart] C:\windows\winstart32.exe

O4 - Startup: Raccourci vers Raccourci vers StealthBot v2.6 Revision 3.lnk =

 

C:\Program Files\StealthBot\StealthBot v2.6R3.exe

O4 - Startup: Raccourci vers w3hph.lnk = C:\Documents and

 

Settings\geoffroy\Bureau\w3hph.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers

 

communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program

 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program

 

files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program

 

files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program

 

Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program

 

Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache

 

Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

(file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

 

C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

 

C:\PROGRA~1\FlashGet\flashget.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.i-lookup.com

O15 - Trusted Zone: *.offshoreclicks.com

O15 - Trusted Zone: *.teensguru.com

O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} -

 

http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2005111...housecall/xscan

 

53.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) -

 

http://by107fd.bay107.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2169B1-5604-430D-ACBD-999062A729B2}:

 

NameServer = 212.186.224.9,212.186.224.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

 

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: winrkp32 - C:\WINDOWS\SYSTEM32\winrkp32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

 

C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Protected Exchange (MainService) - Unknown owner -

 

C:\WINDOWS\System32\nprotect32.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program

 

Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Modifié le 29 avril 2006 par The_best_killer

[Zonk]

Salut The _best_Killer

Bienvenue sur le forum......

http://forum.zebulon.fr/index.php?showtopic=83986

Voici ce que les responsables sécurité devraient te conseiller............

Bye

edit:pense à supprimer le P2P...ici,ca donne de l'urticaire à plusieurs

Modifié le 29 avril 2006 par Zonk

[The_best_killer]

Merci Zonk mais la tu ne m'aide pas beaucoup ^^

Et pis pour le peer to peer, ce n'est pas la dessus que j'ai chopé ce "virus", je pense plutot l'avoir chopé en naviguant sur des pages web

Enfin j'ai éssayé d'etre le plus clair possible dans mon explication, si quelqu'un a une réponse a me donner qu'il n'hésite pas !

 

merci a vous par avance

[Zonk]

Merci Zonk mais la tu ne m'aide pas beaucoup ^^

Et pis pour le peer to peer, ce n'est pas la dessus que j'ai chopé ce "virus", je pense plutot l'avoir chopé en naviguant sur des pages web

Enfin j'ai éssayé d'etre le plus clair possible dans mon explication, si quelqu'un a une réponse a me donner qu'il n'hésite pas !

 

merci a vous par avance

Hi

Ok...au risque de me répéter

Primo:les responsables "sécurité" te guiderons ,normalement si tu appliques cette procédure(c'est la manière de faire....normalement)

secondo:Le p2p est un de pires moyen d'avoir des pestes.....les gens qui t'aiderons ne veulent pas travailler dans le vide(en sachant que le risque de nous revenir pour la meme chose est grand)

tierco:tu peux essayer d'autres logiciels...des scans en ligne,des antispywares..mais résultats pas assurés....tandis qu'avec la procédure la chance d'avoir un ordi propre est grand......

...je te donne des liens dans quelques instants.......bonne chance!reviens sur ce post dans quelques minutes..je vais éditer du nouveau..

http://secuser.com/outils/antivirus.htm

avec la vérification antivirus,pense à supprimer toutes tes vieilles sauvegardes(pestes et virus)...elles seront détectées inutilement

Avec ce programme en version d'essai tu devrais avoir de bons résultats

http://www.pestpatrol.com/

pense à l'acheter si tu l'aime(je l'adore)et pense de le mettre à jour

 

...bon travail et reviens nous.....

Modifié le 30 avril 2006 par Zonk

[Zonk]

Question:

Tu OS n'est pas à jour???

Quel est ton antivirus?(je ne vois rien..a moins que ca m'échappe)

Quel est ton pare-feu??

....................................

[The_best_killer]

Et bien je te remercie beaucoup Zonk pour tout tes conseils mais je viens de tomber par hasard sur une page qui ma permis de résoudre le probleme pour le message d'erreur, je donne le lien : >> cliquez ici <<

En fait j'avais bien supprimé le logiciel SpyFalcon et les deux fichiers qu'ils disent de supprimer je ne les avaient pas, a mon avis c'est le fichier .reg qui a du résoudre le probleme.

 

En tout cas Zouk je te remercie beaucoup et je ferai les analyses que tu ma conseillé car a mon avis je doit encor avoir quelques problemes sur mon ordi (a savoir aussi que je n'utilise pas d'antivirus je supprime a la main généralement)

 

Merci encor

[Zonk]

Ah...

a ta guise....

Bye

edit:j,espere que tu ne fait pas de transaction banquaire ou d'achat en ligne avec ce manque de protection!

Modifié le 30 avril 2006 par Zonk

[The_best_killer]

Non non rassure toi mais si je ne prend pas d'antivirus c'est avant tout que ca coute cher, et pis que ca prend beaucoup de ram ! j'avais norton 2004 avant, il m'a jamais détecté un seul virus mais pr la ram on peut dire qu'il m'en prenait ^^

Du coup pour les quelques virus que j'obtient parfois (et la plupart du tps je sais d'ou ils viennent) et bin je me débrouille pr les supprimer a la main

[benhiegel]

tilise avast il est gratos et il marche bien

et zone alarm comme pare feu

moi j utilise pc cillin 14 mais il est payant mais je n ia jamais eu de virus

[Jack_Burton]

Salut,

 

The_best_killer, ton rapport montre des infections! Je te conseille vivement de suivre la procédure préliminaire :

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

 

auteur : megataupe

Modifié le 30 avril 2006 par Jack_Burton