|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
Je poste aujourd'hui car je suis bien embêtée, le PC de mon mari est infecté par un virus qui je crois est privacy_danger, je ne sais pas comment m'en débarasser.
Il a tout un tas de nouveaux logs installés sur son bureau.
J'ai utilsé ad-aware, spybot, rien n'y fait, il a AVG comme anti-virus.
Merci de l'aide que vous pourrez m'apporter.
A bientôt Géraldine
|
|
team sécurité
|
|
|
bonjour
Télécharge smitfraudfix de S!Ri
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.
|
|
|
|
|
Là je suis impressionnée, super rapide, merci vraiment...
Alors voici le rapport :
SmitFraudFix v2.331
Rapport fait à 15:55:56,51, mar. 22/07/2008
Executé à partir de C:\Documents and Settings\SICRE.GERALDINE\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\Program Files\Wireless 802.11g Monitor\WLService.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
C:\Program Files\RegCleaner\RegCleanr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\SICRE.GERALDINE\Bureau\SmitfraudFix\Policies.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
C:\WINNT\privacy_danger PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SICRE.GERALDINE
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SICRE.GERALDINE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SICRE~1.GER\Favoris
C:\DOCUME~1\SICRE~1.GER\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\SICRE~1.GER\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\SICRE~1.GER\Favoris\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
C:\DOCUME~1\SICRE~1.GER\BUREAU\Error Cleaner.url PRESENT !
C:\DOCUME~1\SICRE~1.GER\BUREAU\Privacy Protector.url PRESENT !
C:\DOCUME~1\SICRE~1.GER\BUREAU\Spyware?Malware Protection.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINNT\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: kgxmotapqtm.dll
BHO: QXK Olive - {066A8A42-9DE6-41F7-951C-E2C4B8C5E3CB}
TypeLib: {47FE7262-44CE-4490-8ED7-7580898B70AB}
Interface: {2473C32D-F97E-4155-81AE-B662B25ABF93}
Interface: {493B05DC-C865-427E-B62B-D83D731781FA}
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/1000 MT Network Connection
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6BE57A87-78A5-42ED-903F-D051B221C9FA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6BE57A87-78A5-42ED-903F-D051B221C9FA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6BE57A87-78A5-42ED-903F-D051B221C9FA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
team sécurité
|
|
|
Nettoyage:
[list]
Redémarre l'ordinateur en mode sans échec (au démarrage de l'ordinateur, tapoter F8 ) tuto mode sans echec
Double clique sur SmitfraudFix.exe
Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt [/list]
Poste le rapport dans ton prochain message.
ps si ton rapport est trés grand merci de le mettre comme indiqué dans ce lien
http://bibou0007.com/aide-a-la-desinfection-f8/rapport-de-grande-taille-t765.(...)
|
|
|
|
|
Bonsoir, alors j'ai fait comme indiqué, par contre j'ai l'impression que mon rapport est grand, j'ai donc un lien pour le rapport : http://www.miraclesalad.com/webtools/clip.php?clip=1d21
Merci encore pour l'aide
Géraldine
|
|
team sécurité
|
|
|
oki super y a déjà pas mal de boulot effectué!!
fait ceci stp
Télécharge HijackThis v2.0.2 de trend secure
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.
|
|
|
|
|
Bonjour à toi,
J'ai téléchargé et installé sur le bureau Hijackthis, sauf que windows me dit que le log a généré des erreurs et le ferme sans que j'ai pu copié rapport.
Merci Géraldine
|
|
|
|
|
Alors j'ai le rapport qui est fort long donc le voici : http://www.miraclesalad.com/webtools/clip.php?clip=1d46 merci pour la suite.
Cordialement Géraldine
|
|
team sécurité
|
|
|
arf tu es sous 2000
sesinstale bonntygames
supprime ca
en gras
C:\Program Files\Fichiers communs\BOONTY Shared\
Télécharge LSPfix:
http://www.cexx.org/lspfix.htm
[list]
Démarre LSPfix
Coche "I know what I'm doing"
Clique sur "Finish".
Redémarre ton pc
[/list]
et ensuite
télécharge et applique spybot
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.h(...)
Son tuto:
http://assiste.free.fr/p/logitheque/spybot...nd_destroy.html fais les mises à jour/vaccine/fais le scan et supprime tout ce qu'il signale en rouge Fais ce scan en mode sans échec.
remet un hijackthis ensuite
|
|
|
|
|
Bonjour,
Excellente journée j'espère.
Voici donc l'hijackthis après toutes tes indications, comme il est long voici le lien : http://www.miraclesalad.com/webtools/clip.php?clip=1d61
Merci Géraldine
|
|
team sécurité
|
|
|
Bonjour,
Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!
tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
Lance HijackThis
Clic sur "Do a system scan only"
Tu coches les lignes suivantes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O1 - Hosts file is located at: C:\WINNT\help\hosts
O3 - Toolbar: (no name) - {E43E9D4E-
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINNT\privacy_danger\index.htm
Fix checked
telecharge Malwarebytes Anti-Malware
lien et tuto
suis les indications et poste le rapport dans ton prochain message.
|
|
|
|
|
Bonsoir et merci du temps que tu me consacres.
Je n'ai pas réussi à supprimer ces clés R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O1 - Hosts file is located at: C:\WINNT\help\hosts
O3 - Toolbar: (no name) - {E43E9D4E-
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINNT\privacy_danger\index.htm
Lorsque j'essaie, windows ferme le programme car il génére des erreurs, j'ai vérifié et les clés ne sont pas suprimées.
J'ai quand même suivi ta procédure, voilà le rapport de Fix, j'ai fait l'analyse toujours en mode ss échec.
http://www.miraclesalad.com/webtools/clip.php?clip=1d6b
|
|
team sécurité
|
|
|
Désactive toute protection résidente ! (Antivirus, antispywares..)
Télécharge ComboFix (créé par sUBs) sur ton Bureau
Démarre en mode sans echec
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
tuto ici
|
|
|
|
|
Bonjour et bonne journée, merci pour ta réponse.
Voici le rapport de combofix : http://www.miraclesalad.com/webtools/clip.php?clip=1d9d
et de hijackthis : http://www.miraclesalad.com/webtools/clip.php?clip=1d9e
J'ai Scotty qui patrouille et me dit qu'il a détecté une modification dans un fichier qu'il surveille, HOSTS emplacement c:\winnt\system32\drivers\etc\hosts, il me propose de voir l'ancien fichier qui est introuvable et voici le nouveau fichier "127.0.0.1 localhost " je refuse la modif il me l'a repropose que dois-je faire ???
Merci de ta réponse et encore merci pour ton aide précieuse car je ne sais pas ce que j'aurai fait sans elle.
Géraldine
|
|
team sécurité
|
|
|
|
le rapport combofix n est pas complet tu peu me le poster en 2 fois il est tellement long lol!!
|
|
|
|
|
Bonsoir,
Voici la 2e partie du rapport http://www.miraclesalad.com/webtools/clip.php?clip=1dac
la 1ere partie est donc plus haut dans le message.
j'ai installé Mozilla comme navigateur.
A Bientôt et merci Géraldine
|
|
team sécurité
|
|
|
telecharge Malwarebytes Anti-Malware
lien et tuto
suis les indications et poste le rapport dans ton prochain message.
|
|
|
1
|
|
|
|
