Un virus inconnue [Résolu]

Bonjour/bonsoir

Vide la Corbeille.

Télécharge et installe SmitFraudFix :
http://siri.urz.free.fr/Fix/SmitfraudFix.php (par S!Ri)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.

lorsque j'ai téléchargée SmitFraudFix mon antivirus le supprimer en tant qu'un trojan (trojan.zlob.50795)

en tout cas j'ai desactivee l'antivirus et je precede, voici le rapport : "il semble qu'il y a des malware"
note : avant l'analyse j'ai effacee ce cle du registre (je pense que celui l'origine de ce prob): HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.bearshare.com/fr/
--------------------------------------------------------------------------------------------------------------------------------------------



SmitFraudFix v2.392

Rapport fait à 14:33:46,56, 01/02/2009
Executé à partir de C:\Documents and Settings\OTHMAN FAMILY\Application Data\IDM\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\csrss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
C:\\Program Files\\BitDefender\\BitDefender 2009\\vsserv.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\WINDOWS\\system32\\LEXBCES.EXE
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\system32\\LEXPPS.EXE
C:\\Program Files\\Lexmark X1100 Series\lxbkbmgr.exe
C:\\WINDOWS\\Mixer.exe
C:\\PROGRA~1\\AOpen\\Keyboard\\Ikeymain.exe
C:\\Program Files\\BitDefender\\BitDefender 2009\\bdagent.exe
C:\\Program Files\\Java\\jre6\\bin\\jusched.exe
C:\\Program Files\\SuperCopier2\\SuperCopier2.exe
C:\\Program Files\\Salaat Time\\SalaatTime.exe
C:\\Program Files\\Internet Download Manager\\IDMan.exe
C:\\Program Files\\Lexmark X1100 Series\\lxbkbmon.exe
C:\\Program Files\\Webshots\\webshots.scr
C:\\Program Files\\BitDefender\\BitDefender 2009\\seccenter.exe
C:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
C:\\Program Files\\Bonjour\\mDNSResponder.exe
C:\\WINDOWS\\system32\\DRIVERS\\CDANTSRV.EXE
C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
C:\\WINDOWS\\system32\\nvsvc32.exe
C:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindService.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\alg.exe
C:\\Program Files\\Internet Download Manager\\IEMonitor.exe
C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe
C:\\Program Files\\Windows Live\\Contacts\\wlcomm.exe
C:\\Program Files\\Windows Media Player\\wmplayer.exe
C:\\WINDOWS\\system32\\DllHost.exe
C:\\Program Files\\Mozilla Firefox\\firefox.exe
C:\\Program Files\\Fichiers communs\\Adobe\\Updater5\\AdobeUpdater.exe
C:\\WINDOWS\\system32\\NOTEPAD.EXE
C:\\WINDOWS\\system32\\cmd.exe
C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\\

C:\\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system32\\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\\Documents and Settings\\OTHMAN~1


»»»»»»»»»»»»»»»»»»»»»»»» C:\\DOCUME~1\\OTHMAN~1\\LOCALS~1\\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\\Documents and Settings\\OTHMAN FAMILY\\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\\DOCUME~1\OTHMAN~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Desktop\\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Salut,

Redémarre le PC en mode sans échec :
http://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm …
(méthode F8 de préférence)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 2 et appuie sur "Entrée".
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" ....
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste-le.

SmitFraudFix v2.392

Rapport fait à 20:35:34,57, 01/02/2009
Executé à partir de C:\Documents and Settings\OTHMAN FAMILY\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

...

Fais un clic-droit sur le lien ci-dessous :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec ...
http://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur
RunThis.cmd (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te
demandera d'appuyer sur une touche pour redémarrer. Fais-le.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va
continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera
Aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

---
Ensuite, ...

Fais un scan HijackThis ...
http://forum.telecharger.01net.com/... ... et poste le rapport.

say j'ai resolue le probleme au mode sans echec
merci

Salut,

En es-tu sûr ?

oui

merci

j'ai fait aussi un nettoyage de registre

est say

tout les fichiers (autorun.inf et S-6-0-24-100027781-100002469-100025579-9836.com) sont effacée ainsi que tout les clés.