Besoin de votre aide pour virus à supprimer ! - Sécurité - Windows & Software
Marsh Posté le 09-09-2006 à 10:19:55
Salut, on dirait bien du WinAntibidule non ? (winantivirus ou winantispyware), ou alors SysProtect ? SystemDoctor ?
Télécharges :
SmitFraudFix : http://siri.urz.free.fr/
Hijakcthis : http://merijn.org/
Quitte tous les programmes en cours
Lance SmitFraudFix et appuie sur 1
Poste son rapport
Lance hijackthis
Cliques sur "Do a system scan and save a log file"
Poste son rapport
Va ensuite dans la "Misc tools section" d'HJT
Cliques sur "Open uninstall manager"
puis sur "Save in notepad"
Poste la liste
@+
Marsh Posté le 09-09-2006 à 10:28:00
Merci pour ta réponse (je désespérais
Par contre je ne trouve pas la "misc tools section" dont tu parles ?
Dans mon dossier j'ai juste HijackThis.exe et mon rapport.
Voilà le rapport de SmitFraudiFix :
SmitFraudFix v2.84
Rapport fait à 10:23:59,09, 09/09/2006
Executé à partir de D:\15ROPEG\Temporaire\MP3\SmitfraudFix1\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\duxzj.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\15ROPEG\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\15ROPEG\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\Media-Codec\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6570b782-1a41-4053-b2c9-12c7fcf0d84d}"="imputable"
[HKEY_CLASSES_ROOT\CLSID\{6570b782-1a41-4053-b2c9-12c7fcf0d84d}\InProcServer32]
@="C:\WINDOWS\System32\duxzj.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6570b782-1a41-4053-b2c9-12c7fcf0d84d}\InProcServer32]
@="C:\WINDOWS\System32\duxzj.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 09-09-2006 à 10:28:32
Et voilà le rapport de HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 10:24:33, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Media-Codec\isamonitor.exe
C:\Program Files\Media-Codec\pmsngr.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Media-Codec\pmmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Media-Codec\isamini.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\Siclt32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\ORL\VNC\WinVNC.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\TEMP\EV88CE.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\15ROPEG\Temporaire\MP3\HijackThis\Scanner.exe.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hldnt12.berner.lan:50000/irj/portal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hldnt12.berner.lan:50000/irj/portal
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = frproxy.fr.berner.lan:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = web;10.*;*.berner.lan;192.109.121.66;192.109.121.67;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\Media-Codec\isaddon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\Media-Codec\iesplugin.dll (file missing)
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Program Files\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [OBSWATCH] C:\PROGRA~1\OrangeBs\Watch.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://hldnt12.berner.lan:50000/irj/portal
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.berner.lan
O17 - HKLM\Software\..\Telephony: DomainName = fr.berner.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.berner.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fr.berner.lan
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\System32\yephk.dll (file missing)
O21 - SSODL: imputable - {6570b782-1a41-4053-b2c9-12c7fcf0d84d} - C:\WINDOWS\System32\duxzj.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\System32\Siclt32.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\ORL\VNC\WinVNC.exe" -service (file missing)
Marsh Posté le 09-09-2006 à 10:31:43
Ca yest, j'ai trouvé "Misc Tools section", la liste est la suivante :
Adobe Flash Player 9 ActiveX
Adobe Reader 6.0 - Français
ALPS Touch Pad Driver
BIS 3.1r36
Broadcom Gigabit Integrated Controller
BSplayer
Carte Sony Ericsson GC79
Catalogue Métal Würth France
CDex extraction audio
Conexant D480 MDC V.9x Modem
Correctif pour DirectX 9 - KB839643
Correctif pour le Lecteur Windows Media [Voir wm828026 pour plus d'informations]
Correctif Windows XP - KB820291
Correctif Windows XP - KB821253
Correctif Windows XP - KB822603
Correctif Windows XP - KB823182
Correctif Windows XP - KB824105
Correctif Windows XP - KB824141
Correctif Windows XP - KB825119
Correctif Windows XP - KB826939
Correctif Windows XP - KB826942
Correctif Windows XP - KB828035
Correctif Windows XP - KB828741
Correctif Windows XP - KB833987
Correctif Windows XP - KB835732
Correctif Windows XP - KB837001
Correctif Windows XP - KB839645
Correctif Windows XP - KB840315
Correctif Windows XP - KB840374
Correctif Windows XP - KB840987
Correctif Windows XP - KB841356
Correctif Windows XP - KB841533
Correctif Windows XP - KB841873
Correctif Windows XP - KB842773
Correctif Windows XP - KB871250
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB873376
Correctif Windows XP - KB883357
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891711
Correctif Windows XP - KB891781
Correctif Windows XP - KB892944
Correctif Windows XP - KB911567
Correctif Windows XP - KB916281
Correctif Windows XP - KB918439
Correctif Windows XP (SP2) Q322011
Correctif Windows XP (SP2) Q814995
Correctif Windows XP (SP2) Q819696
Disque de souvenirs HP
eMule
ewido anti-spyware 4.0
Exif Viewer Ver.1.1
Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP
Grand Atlas Routier et Touristique de France
HijackThis 1.99.1
hp officejet 6100 series
Installation Polices Univers
Internet Explorer Security Plugin 2006
Internet Security Add-On
InterVideo WinDVD
K-Lite Codec Pack 2.71 Full
LeTraducteur
Macromedia Flash Player
Macromedia Flash Player 8
Mes SMS
Microsoft Data Access Components KB870669
Microsoft Office XP Professional
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899589)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905495)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour pour Windows XP (KB835409)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Nortel Networks Contivity VPN Client
NVIDIA Windows 2000/XP Display Drivers
OrangeBs
Pack réseau avancé pour Windows XP
Palm Desktop
PCI 7510 CardBus Controller with SmartCard and Software
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp officejet 6100 series
Pilotes Audio SigmaTel AC97
Public Messenger ver 2.03
QuickTime
RealPlayer
Safety Alerter 2006
SAP Front End
SER Systeme AG - Intuitiv V03.11p2 Typical
Trend Micro OfficeScan Client
Van Dyke Technologies CRT 3.4
vdocopen
vdocopenfile
Winamp (remove only)
Windows Installer 3.1 (KB893803)
WinVNC 3.3.3
Marsh Posté le 10-09-2006 à 08:38:56
Salut, démarres en mode sans échecs (tapotes F8 au démarrage), lance SmitFraudFix et appuie sur 2, ensuite supprime le dossier "Media Codec" dans Program files.
Télécharges ensuite Listor 3.5.1 : http://med365.co.nr/downloads/listor-current.cab
Décompresses TOUTE L'ARCHIVE et lance le fichier "listor.cmd",
appuie sur la touche 2 et choisis l'option 7 "créer les fichiers journaux sans affichage précédant"
poste le fichier Listor.log
Fixes ces lignes dans Hijakcthis :
Citation :
|
Mets à jour Ewido et poste un scan avec
@+
Marsh Posté le 11-09-2006 à 09:24:10
Merci pour ta réponse.
Mais je n'arrive pas à démarrer en mode sans échecs, j'ai un message d'erreur quand je tape mon code, et ça ne démarre pas non plus si je ne tape pas de code.
C'est un ordinateur du bureau, donc sans doute configuré de telle manière.
Que faire, je fais quand même ce que tu m'as indiqué mais sans le mode sans échecs ?
Marsh Posté le 11-09-2006 à 16:08:33
Bonjour
Oui, fais la manip en mode normal.
Smitfraudfix est programmé pour supprimer les fichiers résistants en redémarrant le PC.
Malheureusement, cela peut ne pas fonctionner pour certains fichiers infectés.
Marsh Posté le 08-09-2006 à 23:41:19
Bonjour à tous,
Alors je reformule mon message avec le détail des problèmes :
- Ma page de démarrage n'est plus l'habituelle, c'est maintenant http://www.securitynetpage.net/ et impossible de la modifier
- J'ai en bas à droite de mon écran, deux icones qui clignotent, une qui me renvoie sur VirusBurst.com, et un point d'interrogation qui apparait aussi de temps en temps
- Enfin, des fenêtres de pub s'ouvrent de temps en temps (Virus alert, etc...)
Que dois-je faire ?
MERCI DE VOTRE AIDE !!!
Message édité par Profil supprimé le 09-09-2006 à 09:30:02