Sujet Précédent Sujet Suivant

Se Debarasser de SECURITY TOOL WARNING

Fermé
Archange - 24 oct. 2009 à 17:06
 chloé - 6 nov. 2009 à 08:12
Bonjour,

Security TOOL a envahi mon ordi et je voudrais m'en debarrasser.je ne suis pas expert en Info, mais sur un topic traitant du meme problème, il ya avit deux solution :

-Soit procerder par demarrage en mode sans echec puis suivres d'autres manip(Mais c impossible,j'ai essayé 30 fois et n'arrive pas à faire le demarrage en mode sans echec) ;


-Soit ,d'après une reponse d'un forumeur : "Salut , pour lancer un programme et récupérer ton bureau sans passer par le mode sans echec fait :

va dans C:\WINDOWS\system32 et renomme le fichier "taskmgr" en "iexplore" puis double clique sur ce fichier , le gestionnaire des taches va s'ouvrir sans intervention du rogue , la tue le processus du rogue puis tue le processus windows "explorer.exe" , va dans nouvelle tache => tape "explorer.exe" et là ton bureau reviendras et tu pourras lancer tes programmes de sécurité ."



Mon problème est qu'àpres avoir ouvert le gestionnaire des taches, je ne sais pas quel processus il faut fermer(je ne sais meme pas ce qu'est un rogue ) ?

je vois dans la liste processus qu'il est ecrit "EXPLORER.EXE",dc je pense que c le processus windows.
Mais quel est le nom du processus ROGUE ?
JE n'ai certainement pas envie de fermer quoi que ce soit d'autre et d'agraver mon problème ?

je recopie ici la liste des processus qui s'affichent :

firefox.exe
svchost.exe
msnmsfr.exe
ctfmon.exe
51632522.exe
realsched.exe
jusched.exe
soundman.exe
iexplore.exe
alg.exe
hpzipm12.exe
sched.exe
svchost.exe
msa.exe
avguard.exe
spoolsv.exe
svchost.exe
svchost.exe
iexplorer.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
wuauclt.exe
svchost.exe
system
processus inactif....


voila, je ne sais pas lequel supprimer avant de supprimer le iexplorer.
intuitivement, j'aurais tendance à supprimer celui en chiffres,celui "processus inactif" ou celui qui se repete.

Que faire ?
A voir également:

16 réponses

Réponse 1 / 16
Archange
24 oct. 2009 à 20:12
j'ai installé, supprimé,reinstallé,resupprimé et recommencé la procedure un million de fois en changeant de miroir, mais il s'affiche toujours en rouge :

Fichier Agent.OMZ.fix.exe absent
dezippez la totalité de l'archive dans un dossier.

j'ai dezippé,rezippé,zippé,zappé et zoppé et meme zouloupé, rien à faire.

actuellement je sujis en train de me manger les cheveux !!!

A l'aide
1
Réponse 2 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 17:10
slt

fais rien du tout si tu le sens pas ^^

Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Archange
24 oct. 2009 à 17:21
Merci de me repondre si tot,mais le bureau n'apparait pas. security tool fait apparaitre un bureau gris.
j'ai telechargé rsit.exe autre part que sur le bureau; mais quand je double clique dessus,rien ne passe.
pareil pour d'autres logiciels type antivirus.
ils ne sont tout simplement pas lancés,et ya rien qui se passe.et en plus l'ordi se redemarre nimporte quand.
0
Réponse 3 / 16
Archange
24 oct. 2009 à 17:48
Rapport log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2009-10-24 17:31:33
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 18 GB (23%) free of 79 GB
Total RAM: 447 MB (8% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:44, on 24/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\msa.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\b.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\Program Files\trend micro\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=370&client_id=2ADF986001C84CB401E5BCC1&version=4.5.6.0&it=1199219009&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [lsdefrag] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\statb.tmp
O4 - HKLM\..\Run: [51632522] C:\DOCUME~1\ALLUSE~1\APPLIC~1\51632522\51632522.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [NordBull] C:\WINDOWS\msa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
0
Réponse 4 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 18:14
bon, bah y'a du boulot^^ tu as plusieurs infections et tu as l'air d'être faché avec les mises a jour, on va faire tout ca :

Pour ton rogue :

Télécharge SmitfraudFix (de S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

• Enregistre-le sur le Bureau

• Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

• Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel illustré : http://www.malekal.com//tutorial_SmitFraudfix.php
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 20:36
actuellement je sujis en train de me manger les cheveux !!!

n'attends pas 2 heures pour me le dire^^

on va s'occuper du reste si tu peux :

* Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau
* tutoriel recherche
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

0
Réponse 6 / 16
Archange
24 oct. 2009 à 20:48
J'ai attendu pour etre bien sur que j'avais suffisament essayé.
Il se trouve qu'à la millième reinstallation de smitfix, le processus c lancé.
le rapport est le suivant :

SmitFraudFix v2.424

Rapport fait à 20:42:01,03, 24/10/2009
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\b.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\51632522\51632522.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\msxml71.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



ps je teleharge quand meme le usbfix fixe,pour faire d'une pierre deux coups.
0
Réponse 7 / 16
Archange
24 oct. 2009 à 21:07
Voici le rapport de Usbfix :

je tiens à precise que smitfix ayant enfin demarré, j'ai lancé l'etape deux malgré tout en mode normal car je ne peux acceder au mode sans echec, pourtant j'ai essayé un nombre incalculable de fois.

d'autre part,je ne sais pas si c'est important,mais ce rapport d'usbfix a été fait pendant que smitfix etait en phase 2 sur un demarrage en mode normal de XP.

P.s : ceci etant du charabia pour moi,pouvez m'expliquer comment ou à quoi vous voyez sur ce rapport que l'ordinateur est infecté,et quels sont les fichiers à Supprimer ?(au cas ou cela se represente et que je dispose pas d'internet pour vous ecrire ou pour telecharger des logiciels)

############################## | UsbFix V6.045 |

User : Propriétaire (Administrateurs) # ACER-A7D3E14A69
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:53:28 | 24/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : Avira AntiVir PersonalEdition 7.0.0.2
[ Enabled | (!) Outdated ]
AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 76,7 Go (35,4 Go free) [ACER] # FAT32
E:\ -> Disque fixe local # 76,65 Go (76,63 Go free) [ACERDATA] # FAT32
F:\ -> Disque CD-ROM # 639,11 Mo (0 Mo free) [desir] # CDFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\b.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\51632522\51632522.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\System32\wudfhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\e8main0.dll
C:\WINDOWS\system32\nmdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cvasds1.dll
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cvasds2.dll
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\herss.exe
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\eexyv.exe" ( Présent ! )
C:\0fkk02x.exe
C:\1di1w.exe
C:\2o1ajagt.exe
C:\2sm66r.exe
C:\3yalgc.exe
C:\9jyhdim8.exe
C:\bycfht.exe
C:\cqb6wo.exe
C:\cqb6wo.exe
C:\ctu8r.exe
C:\Empty
C:\f9o8o.exe
C:\l6jj.exe
C:\lhh3v.exe
C:\mje12tni.exe
C:\mranjm.exe
C:\nds0q.exe
C:\qbr2q.exe
C:\qcod.exe
C:\r2g20.exe
C:\rg9g9bgq.exe
C:\s3ek.exe
C:\se12ydam.exe
C:\sp1jensi.exe
C:\t2hjo0.exe
C:\ucivd6xi.bat
C:\vb0hsoay.exe
C:\vlvtdflx.exe
C:\w9uxx92.exe
C:\wcgswa.exe
C:\wrsf.exe
C:\x8sigm.exe
C:\ycvvj.exe
C:\yudald.bat
E:\autorun.inf
E:\autorun.inf -> fichier appelé : "E:\eexyv.exe" ( Présent ! )
E:\0fkk02x.exe
E:\1di1w.exe
E:\2o1ajagt.exe
E:\2sm66r.exe
E:\3yalgc.exe
E:\9jyhdim8.exe
E:\bycfht.exe
E:\cqb6wo.exe
E:\cqb6wo.exe
E:\ctu8r.exe
E:\f9o8o.exe
E:\gy.exe
E:\l6jj.exe
E:\lhh3v.exe
E:\mje12tni.exe
E:\mranjm.exe
E:\nds0q.exe
E:\qbr2q.exe
E:\qcod.exe
E:\r2g20.exe
E:\rg9g9bgq.exe
E:\s3ek.exe
E:\se12ydam.exe
E:\sp1jensi.exe
E:\t2hjo0.exe
E:\ucivd6xi.bat
E:\vb0hsoay.exe
E:\vlvtdflx.exe
E:\w9uxx92.exe
E:\wcgswa.exe
E:\wrsf.exe
E:\x8sigm.exe
E:\ycvvj.exe
E:\yudald.bat

################## | Registre # Clés Run infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"
[HKCR\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0b782202-6c9d-11de-a77f-0016ec8c2678}
Shell\AutoRun\command =D:\w9uxx92.exe
Shell\open\Command =D:\w9uxx92.exe

HKCU\..\..\Explorer\MountPoints2\{1de6aca2-49c6-11dc-a482-0016ec8c2678}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{662dc4a6-a34b-11de-a782-0016ec8c2678}
Shell\AutoRun\command =D:\wcgswa.exe
Shell\open\Command =D:\wcgswa.exe

HKCU\..\..\Explorer\MountPoints2\{77885830-a68c-11de-a78b-0016ec8c2678}
Shell\AutoRun\command =D:\cqb6wo.exe
Shell\open\Command =D:\cqb6wo.exe

HKCU\..\..\Explorer\MountPoints2\{88f09800-8f8a-11dc-a4fd-0016ec8c2678}
Shell\AutoRun\command =D:\8u.com
Shell\explore\Command =D:\8u.com
Shell\open\Command =D:\8u.com

HKCU\..\..\Explorer\MountPoints2\{9d0d67ac-e829-11dd-a729-0016ec8c2678}
Shell\AutoRun\command =D:\gy.exe
Shell\open\Command =D:\gy.exe

HKCU\..\..\Explorer\MountPoints2\{b00c3fdc-a6aa-11de-a78c-0016ec8c2678}
Shell\AutoRun\command =D:\cqb6wo.exe
Shell\open\Command =D:\cqb6wo.exe

HKCU\..\..\Explorer\MountPoints2\{b1691c50-e7a8-11dc-a5ca-0016ec8c2678}
Shell\AutoRun\command =D:\8u.com
Shell\explore\Command =D:\8u.com
Shell\open\Command =D:\8u.com

HKCU\..\..\Explorer\MountPoints2\{be728d5a-f42d-11dc-a5dc-0016ec8c2678}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

HKCU\..\..\Explorer\MountPoints2\{e2cb3a46-2541-11dc-a42a-0016ec8c2678}
Shell\AutoRun\command =a.exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.045 ! |
0
Réponse 8 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 21:10
c'etait juste l'option recherche (comme usbfix) j'ai pas envie de virer des processus legitimes ^^

la on s'attaque a ton rogue , et pendant que tu seras en mode sans echec , laisse tomber usbfix opt1 passe direct l'opt 2 , donc :

Nettoyage :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

tuto
tuto

Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal,
copie/colle le rapport sauvegardé sur le forum

process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm


ensuite



* tutoriel nettoyage
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
* ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!
0
Réponse 9 / 16
Archange
24 oct. 2009 à 21:12
ok,mais je vais reessayer de passer en mode sans echec.

Voici deja le rapport du smitfix en phase 2;en mode norma de Xpl :

SmitFraudFix v2.424

Rapport fait à 20:54:21,96, 24/10/2009
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\WINDOWS\system32\msxml71.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{980B8BCE-9262-4195-8A30-2D738349F4DD}: NameServer=212.27.40.240,212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 10 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 21:44
c'est lui que je t'ai demandé de passer en Mse !!!

lis bien ce que je te dis

0
Réponse 11 / 16
Archange
24 oct. 2009 à 22:05
Je lis très bien.
Simplement,mon ordinateur n'arrive pas A PASSER EN MODE SANS ECHEC.

Il me semble l'avoir dit,et meme au debut de mon post,que cette solution m'avait deja été proposée,mais que je ne pouvais l'appliquer car l'ordi ne passe pas en MSE.
j'ai beau tapoter la touche F8,puis chosiir mode sans echec, lorsqu'il redemarre il affiche l'ecran noir avec le message : windows a mal demarré....choisir le mode.

je rechoisi le mode sans echec,il ne se met pâs en mode sans echec, me redemande de chosir un mode, et le procedé recommence de maniere indefinie.
j'ai meme essayé mode sans echec sans reseau ; invite de commande sans echec aussi, peine perdue.

JE n'arrive pas.
je ne suis peut etre pas ingenieur informatique chez apple ou comment ça marche,mais je SAIS quand meme suivre des instructions.ça fait quand meme Depuis 17h que je suis dessus,ce n'est pas une partie de plaisir.
0
Réponse 12 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 22:25
--
On réfléchit et on clique : PAS L' INVERSE : sinon direction CCM 
/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
0
Archange
24 oct. 2009 à 22:40
Merci Monsieur.
Je suppose que dois quand meme cliquer 2 fois dessus une fois qu'il est installé ?
Désolé de repondre en decalé,je reviens d'essayer de relancer en mse,sans succès.
je fais la manip pour C-Fix.
et vous tient au courant.
0
Réponse 13 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
24 oct. 2009 à 23:01
je te laisse pour ce soir, taf demain^^ mais j'essaierai de passer faire un tour demain matin sinon demain soir, mais ce que je t'ai donné devrait arranger tes problemes provisoirement :)

bonne soiree
0
Réponse 14 / 16
Archange
24 oct. 2009 à 23:05
je l'ai enregistré sur le bureau,enlever les barrières et autres défenses, fermées toutes les applications y compris firefox.

lorsque je lance C-fix(en cliquant dessus 2 fois), ce logiciel commence a se lancer(une barre de remplissage verte)puis ça s'arrete et il y a un message d'erreur qui apparait :

"Windows n'arrive pas à trouver 32788R22FWJFW"

donc je suis allé ds rechercher,il y a bien un ficher 32788R22FWJFW mais que faut il en faire ?
je me suis dit que cela avait peut etre un lien avec les securités,mais lorsque je y acceder,security tool m'en empeche et affiche en pop-up jaune :

rundll32.exe is infected with worm lsas.blaster.keyloger.
This worm is trying to send your credit card details using rundll32.exe to connect to remote host.

evident cela ne doit pass etre vrai, et je ne sais pas si c'est lié.
0
Réponse 15 / 16
Archange
25 oct. 2009 à 00:21
Bon,j'ai perseveré et ai lu differents topics en rapport avec le sujet.

je n'avais pas forcement envie de lancer Combifix acr tu l'a presenté comme un logiciel hyper puissant.

j'ai donc fait un scan avec zhpdiag, puis un autre avec smitfix.puis j'ai lancé smitfix en phase 2(en mode de demarrage normal de windows car le mode sans echec reste recalcitrant).

Puis,j'ai téléchargé MalwareByte's anti malware, j'ai fait un scan rapide de l'ordinateur.
j'ai demandé la suppression des virus decouvert part MalwareByte's.

Le choix du scan etant celui "rapide", je suppose que la liste des virus et autres menaces qu'il a trouvés est non exhaustive.
Mais, Service Tool n'apparait plus et mon ecran est redevenu normal,les icones du burau sont revenus et plus de pop up imtempestifs.

après cela,j'ai refait un scan par ZHPdiag, le voici :

https://www.cjoint.com/?kzamCtejGf

Donc, Ma question est de savoir s'il y a encore des virus sur l'ordi
et si le lancement de COMBOX EST NECESSAIRE ?

ps/: au moment ou j'ecris j'ai lancé Malwarebytes en analyse complete,je suppose que c long donc je vais me coucher et supprimerai les nouveaux virus trouvés(eventuels) demain matin.
0
Réponse 16 / 16
neo*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
25 oct. 2009 à 09:40
slt

passage rapide :

poste moi le rapport qu'mbam donnera, laisse tomber combo , par contre il faut passer usbfix, la procedure du post 6 ! poste les rapports, je regarde ce soir
0
chloé
6 nov. 2009 à 08:12
https://www.bleepingcomputer.com/virus-removal/remove-security-tool
deux étapes à suivre en redémarrant à chaque fois et essayer de cliquer rapidement au moment de l'ouverture du bureau sur l'icone nouvellement installée.
après plus d'une heure de galère mon petit frère à réussi
merci à vous
0

Discussions similaires

Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
SecurityHealth est a désactiver ou pas au démarrage de W10 Pro 64 ?
Walti55 -
Walti55 -

2 réponses