[résolu] rappor hjt et ewido

[vincent_57]

salut a tous voila je vous explique mon probleme!!!

un collegue a moi c'est pris un spywar qui lui a enlevé son wallpaper et le remplacé par un ecran noir et un message disan "your computer is infected.." et dan la barre des tache il y a une icone ronde rouge avec une croi dedan qui afiche se meme message toutes le 2-3seconde environ.

donc j'ai passé un coup de ewido et de hjt en mode sans echec dont voici les rapports.

en vous remercian d'avance pour l'aide amcialemen vincent

voici le rappor hjt:

 

Logfile of HijackThis v1.99.1

Scan saved at 09:22:35, on 11/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\OfficeScan Client\PCCNTMON.EXE

C:\Documents and Settings\dz\Bureau\spyware\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\dz\LOCALS~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [setRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: PhoneManager.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O17 - HKLM\Software\..\Telephony: DomainName = SEMINAIRE.METZ

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O20 - Winlogon Notify: iexplore - 0Yr13.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoguard.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

 

et voici celui de ewido:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 09:22:15, 11/05/2006

+ Somme de contrôle: 88F978FE

 

+ Résultats du scan:

 

C:\Documents and Settings\dz\Local Settings\Temp\Cookies\dz@ivwbox[1].txt -> TrackingCookie.Ivwbox : Nettoyer et sauvegarder

C:\Documents and Settings\dz\Local Settings\Temp\temp.frD1F9 -> Trojan.Dialer.ay : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

en esperan avoir de l'aide merci vincent!!

Modifié le 17 mai 2006 par vincent_57

[Invité Laurent_62]

Bonjour vincent_57

 

J'analyse ce log et reviend donner une procédure un peu plus tard.

[vincent_57]

ok Laurent_62 c pas sur que je soi encor co se soir (et de toute facon le pc infecté se situe a metz donc je ne pourai pa essayé la/les procedure avan mardi aprem ) mai merci tt de meme deja pour l'aide!!! a+ (probablemen demain et mardi pour d nouvel) amicalemen vincent

[Invité Laurent_62]

Voici donc une procédure à suivre si tu le souhaite

 

Télécharge

 

Ccleaner

Cliquez sur download latest version en haut a droite pour le télécharger.

 

Installe le,

Dans erreur

Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite

 

 

Regseeker

Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.

 

Désactive la restauration systeme http://www.cfasi.net/modules/wffaq/article.php?t=2

 

 

Télécharge

 

Sp.html-Se.dll Hijack Fix 2000/XP

 

a decompresser sur le bureau

 

 

 

Smitfraudfix

 

Décompresse le sur le bureau également

 

 

 

 

Hors connexion navigateur fermé ainsi que toutes les applications en cours

 

- Double clic sur SpSeHjfix112.exe clique sur le bouton Start Disinfection

 

 

 

- Lance smitfraudfix.cmd

 

Choisis l'option 1

 

Un rapport sera généré, sauvegarde le

 

 

Redémarre en mode sans echec http://www.cfasi.net/modules/wffaq/article.php?t=1

 

 

Relance smitfraudfix.cmd

 

choisis l'option 2

 

Un rapport sera généré, sauvegarde le

 

 

Relance hijackthis

 

coche les cases devant ces lignes (si présentes)

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\dz\LOCALS~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: PhoneManager.lnk = ?

O20 - Winlogon Notify: iexplore - 0Yr13.dll (file missing)

 

ainsi que celles ci si tu ne connais pas ce "SEMINAIRE.METZ "

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O17 - HKLM\Software\..\Telephony: DomainName = SEMINAIRE.METZ

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

 

Clique sur fixer objet ou fix c

 

 

- Autorise l'affichage des fichiers et dossiers cachés

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

 

Recherche et supprime ce fichier (si présent)

 

C:\WINDOWS\System32\kernels8.exe

 

 

 

 

- Utilise Ccleaner pour parfaire le ménage sur ton disque dur

 

- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers

- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

 

 

 

- Utilise regseeker

nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

 

 

Redémarre en mode normal.

 

 

- poste le second rapport de Smitfraudfix ainsi qu'un nouveau log hijackthis afin de contrôler cela et finir le nettoyage si tu le souhaites.

 

 

Bon courage et n'hésites pas à demander si besoin d'un eclaircissemlent avant de commencer.

 

 

* J'espère n'avoir rien oublié

[vincent_57]

salu Laurent_62

merci pour cet procedure que j'essayerai mardi aprem (faute de temp et aussi parceke lordi infecté et a metz lol)

tu a dit pour hjt :

"ainsi que celles ci si tu ne connais pas ce "SEMINAIRE.METZ "

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O17 - HKLM\Software\..\Telephony: DomainName = SEMINAIRE.METZ

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ "#

 

seminaire metz et en faite le resau (ou serveur) je ne c'est pas exactemen ou l'ordi infecté et conecté apré!! donc si j'ai bien compri je ne les vire pas?

 

sur ceux bon week encor et a mardi aprem probablemen pour que je re post un log hjt... etc... (si internet marche puisque justemen leur reseau planté )

merci pour cet aide deja amicalemen vincent

[Invité Laurent_62]

Bonjour,

Effectivement dans ce cas ne pas toucher à ces lignes 017 qui sont légitimes et utiles.

 

Bon week end egalement.

 

Laurent_62

[vincent_57]

salu laurent Laurent_62 voili voilou g fai la procedure que tu m'avai donné!!!aprés reboote g refai un log hjt donc voici le resultat:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:37:43, on 16/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoctrl.exe

C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\46faa4cd5c82200be099d1b1e8a12eed\update\update.exe

C:\Documents and Settings\dz\Bureau\spyware\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [setRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O17 - HKLM\Software\..\Telephony: DomainName = SEMINAIRE.METZ

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SEMINAIRE.METZ

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\dz\Bureau\spyware\Nouveau dossier\ewido anti-malware\ewidoguard.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

 

 

 

ainsi que celui de smithfraud avec l'option1

 

 

SmitFraudFix v2.43

 

Rapport fait à 14:19:57,21, 16/05/2006

Executé à partir de C:\Documents and Settings\dz\Bureau\spyware\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» G:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\desktop.html PRESENT !

C:\WINDOWS\xpupdate.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\dz\Application Data

 

C:\Documents and Settings\dz\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\dz\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\BraveSentry\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et smithfraud avec l'option 2

 

SmitFraudFix v2.43

 

Rapport fait à 14:23:31,82, 16/05/2006

Executé à partir de C:\Documents and Settings\dz\Bureau\spyware\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\desktop.html supprimé

C:\WINDOWS\xpupdate.exe supprimé

C:\WINDOWS\system32\dlh9jkdq?.exe supprimé

C:\Documents and Settings\dz\Application Data\Install.dat supprimé

C:\Program Files\BraveSentry\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage du registre non souhaité.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

voila a vu d'oeil le problemes est reglé car e fon decren et reaparu et les alerte intempestive ne sont plus la!!!

 

en esperan une reponse positiove apré cette procedure

amicalement Vincent_57.

ps je revien que demain pour voi si tu ma repondu donc laisse toi le temp juska demain apré midi pour me repondre

Modifié le 16 mai 2006 par vincent_57

[Invité Laurent_62]

Bonjour Vincent_57,

 

Ce dernier log Hijackthis nelaisse plus paraitre d'infection et dans la mesure ou tu confirmes la disparition des problèmes je pense que l'on peut donc considérer ce problème résolu.

 

edit:

Apres relecture je me rend compte que tu as refusé le nettoyage du registre lors de l'utilisation de Smitfraudfix.

Il serait souhaitable de le faire tout de même pour ce

relance smitfraudfix.cmd

choisis l'option 2

reponds O pour oui à la demande de nettoyage du registre

 

 

ensuite afin de terminer il est necessaire de rétablir certains réglages de Windows

 

Masquer les fichiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- décoche Afficher les Fichiers et dossiers cachés

- Coche Masquer les fichiers protégés du système d'exploitation

- Coche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

Réactiver la restauration systeme

 

 

Démarrer > Panneau de configuration > double clique sur l'icone système

 

Onglet Restauration du système

 

décocher la case désactiver la Restauration du système sur tous les lecteurs

 

Validez les changements en cliquant sur Appliquer puis [OK].

 

Supprime de ton disque dur les utilitaires (fichier téléchargé ainsi que ceux décompressés)

 

SpSeHjfix112.exe

smitfraudfix

 

Ces utilitaires ne sont à utiliser que dans des cas bien particuliers et / ou sont souvent mis à jour il faut donc le télécharger uniquement si besoin pour ainsi ne travailler qu'avec lea dernière version.

 

Autre point aux vues du log hijackthis

 

Ne néglige pas les mises à jour du système d'exploitation ainsi que les autres programmes d'ailleurs car ces mises àjour couvrent bien souvent une faille ce qui ne pourra qu'être bénéfique.

 

Je terminerais en te conseillant un peu de lecture fort instructive

 

http://www.zebulon.fr/articles/protectionPC_1.php

 

 

**

Si tu n'as plus de souci ou d'éventuelle question je t'invite à cloturer ta question en éditant ton premier post afin de rajouter [Résolu] dans le titre.

 

Bonne continuation et si besoin n'hésites pas tu trouveras toujours quelqu'un pour te venir en aide ou plus simplement répondre à tes éventuelles questions.

Modifié le 16 mai 2006 par Laurent_62