Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Infecté par smitfraud-C.

Dernière réponse le 19 mar 2008 à 11:10:45 Kobra, le 4 aoû 2005 à 23:06:57

Signaler ce message aux modérateurs

Bonjour,

Depuis qques jours je suis infecté par smitfraud-C.
Mon antivirus et adaware ne le repère pas.
Spybot le repère bien, mais ne peut pas le corriger (changement de nom ?), et en mode sans échec, il ne le repère pas !

J'ai constamment des alertes "Votre PC est infecté par des spywares" avec un icone qui clignote sur ma barre de menu (un point d'exclamation noir sur triangle jaune, ou blanc sur rond rouge).
J'avais 2 autres problèmes avant (peut-être liés ?) :
- les alertes me rebalançaient systématiquement sur le site PSGuard pour que je télécharge le logiciel,
- et à chaque fois que je voulais allez sur un site internet, j'avais automatiquement la même page de PSGuard qui s'affichait

=> mais après un "nettoyage" en mode sans échec, ces 2 problèmes ont disparus.

PS : je suis plutôt novice en matière de PC ;-)

Merci pour vos conseils.

Meilleures réponses pour « Infecté par smitfraud C. » dans :

/!\ SmitFraud-C.GP /!\ (Résolu) Voir

Infecté smitfraud-C MSVPS et Zlob.Downloader (Résolu) Voir

Infections Smitfraud-C.Core service et DriveC Voir

Infecter par smitfraud-c.toolbar888 (Résolu) Voir

Infecté par smitfraud-c toolbar 888 (Résolu) Voir

Infection malware Smitfraud-C (Résolu) Voir

Bonjour, Il serait préférable que tu fasses ton message personnel, Lire la suite

Posez votre question Répondre

balltrap34, le 4 aoû 2005 à 23:19:28

Salut
qu est ce que tu as nettoyer en mode sans echec si tu t en souvient
sinon telecharge ceci

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

redemarre en sans echec

relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

redemarre

et completer a la fin par hijack la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 4 aoû 2005 à 23:32:34

OK, mais avant de faire ce que tu me demandes, il faudrait sans doute que je télécharge Hijack ? Je ne l'ai pas :-((
C'est facile à utiliser ?

Répondre à Kobra

balltrap34, le 4 aoû 2005 à 23:35:16

Pour hijack tu la ici avec l aide animee
HijackThis (ici) http://www.florensac-chasse-trap.com/ section virus
section virus

telecharge le et met le dans son propre dossier ex/c :hj

clik sur do a systeme scan et save a logfile
et copier coller le rapport
demo
http://pageperso.aol.fr/balltrap34/demohijack.htm

--------------------------- la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 4 aoû 2005 à 23:37:57

OK, merci.

Je fais tout ça et je te tiens au courant.

Répondre à Kobra

balltrap34, le 4 aoû 2005 à 23:44:07

Oki
a++ la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 5 aoû 2005 à 00:04:09

Voili voilou :

Rapport avec l’option 1 :

SmitFraudFix v1.5

Rapport fait à 23:46:42,00 le 04/08/2005
Executé à partir de C:\Program Files\Commentcamarche\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\sites.ini PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\msole32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Andr‚ ASTOUL\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 01/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\System
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\system32\hp705D.tmp
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\Restore

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C s'appelle 53_03_40
Le num‚ro de s‚rie du volume est 340F-AA8F

R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

07/07/2004 18:59 592ÿ896 wininet.dll
1 fichier(s) 592ÿ896 octets

R‚pertoire de C:\WINDOWS\system32

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

11/11/2004 20:51 593ÿ920 WININET.DLL
1 fichier(s) 593ÿ920 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Rapport en mode sans échec option 2 :

SmitFraudFix v1.5

Rapport fait à 23:54:09,32 le 04/08/2005
Executé à partir de C:\Program Files\Commentcamarche\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\sites.ini supprimé
C:\WINDOWS\system32\hp????.tmp supprimé
C:\WINDOWS\system32\intell32.exe supprimé
C:\WINDOWS\system32\intmon.exe supprimé
C:\WINDOWS\system32\msole32.exe supprimé
Problème suppression C:\WINDOWS\system32\oleext.dll
C:\WINDOWS\system32\shnlog.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C s'appelle 53_03_40
Le num‚ro de s‚rie du volume est 340F-AA8F

R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

07/07/2004 18:59 592ÿ896 wininet.dll
1 fichier(s) 592ÿ896 octets

R‚pertoire de C:\WINDOWS\system32

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

11/11/2004 20:51 593ÿ920 WININET.DLL
1 fichier(s) 593ÿ920 octets

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1468
Version BackUp : 6.0.2800.1468

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Rapport HJ :

Logfile of HijackThis v1.99.1
Scan saved at 23:59:27, on 04/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = yahoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Pam] C:\WINDOWS\System32\Rsm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pam] C:\WINDOWS\System32\Rsm.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107210598500
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C'est grave docteur ?

PS : mon image de fond d'écran a disparue ???

Répondre à Kobra

balltrap34, le 5 aoû 2005 à 00:09:12

Re
relance le fix et fait l option 3 cette fois

et pour ton fond
essai ceci
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

puis remet un fond d'écran

je regarde ton log et remet en un nouveau stp je parle du log hijack la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 5 aoû 2005 à 00:15:42

Voici le nouveau rapport HJ après l'option 3 :

Logfile of HijackThis v1.99.1
Scan saved at 00:13:14, on 05/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = yahoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Pam] C:\WINDOWS\System32\Rsm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pam] C:\WINDOWS\System32\Rsm.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107210598500
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

En attendant, je fais la manip que tu me proposes pour le fond d'écran...

Répondre à Kobra

Kobra, le 5 aoû 2005 à 00:21:04

Je n'ai rien eu à faire, il n'y avait que "ma page d'accueil" et elle était bien décochée.
J'ai remis mon fond d'écran, c'est OK.

Répondre à Kobra

Kobra, le 5 aoû 2005 à 00:22:28

Au fait : à priori je n'ai plus l'icone avec un point d'exclamation sur mon bureau... pour le moment ;-)

Répondre à Kobra

balltrap34, le 5 aoû 2005 à 00:28:41

Salut
fait analyser ces fichier stp
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\WINDOWS\system32\hp705D.tmp
ici
19 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html

► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

♪ ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip ♪ spybot (2)version 1.4

(ici) section virus
voir demo

--
et aussi ceci
♪ CleanUp40.exe(3)

voir demo

--
♪ a2(4)

penser a le metre a jour avant de scanner le pc
-------

----------------
► desactive ta restauration systeme

pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

► assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
► vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
♪

--------------------
► relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [Shell] open32.exe

O16 - DPF: teleir_cert -

----------------------
► redemarre en mode sans echec

mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
clik sur
Démarrer--->Exécuter--->taper
regsvr32.exe -u C:\WINDOWS\system32\oleext.dll
puis cliquer sur OK

► recherche et suppr ceci

attention seulement les fichiers si tu trouve
C:\WINDOWS\system32\oleext.dll
C:\NAV_Update.exe
open32.exe
C:\WINDOWS\system32\intmon.exe

-----------------

►passe adaware et vire tous se qu il trouve
----------
►passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis

je termine ici pour se soir ont verrat demain soir la suite
a++

--

--
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 5 aoû 2005 à 00:31:47

OK, je vais faire ce que tu me demandes.
Merci pour tout et à demain soir.

Répondre à Kobra

balltrap34, le 5 aoû 2005 à 18:32:05

Oki
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 5 aoû 2005 à 20:42:09

Hello,

Je viens juste de me reconnecter.
Je commence la procédure que tu m'as donnée hier.

A tout à l'heure...

Question 1 : j'ai la version 1.03 de spybot. Le fait de télécharger la version 1.04 va automatiquement remplacer l'ancienne ou il faudra que je la désinstalle ?
Question 2 : tous les logiciels que tu me permets de télécharger sont gratuits ?

Répondre à Kobra

Kobra, le 5 aoû 2005 à 20:50:02

Au début de la procédure tu me demandes d'analyser 2 fichiers en me donnant adresse avec 19 éditeurs d'anti-virus...
Mais je ne comprends pas ce que je dois faire une fois que j'ai cliquer sur l'adresse http ?
C'est juste pour me permettre d'avoir éventuellement un autre anti-virus où il faut que je fasse qque chose ?

Répondre à Kobra

balltrap34, le 5 aoû 2005 à 22:45:45

Desoler j est du m absenter
les prog c est des gratuits
spybot le mieux tu desinstal l ancienne version

pour l analyse des fichiers tu vas sur le site tu clik ensuite sur parcourir tu recherche le fichier et tu clik ensuite sur send
et la tu attend le rapport tu le copie colle dans le bloc note et tu recommence avec le deuxieme
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

Kobra, le 5 aoû 2005 à 22:58:36

OK, j'avais fini par comprendre.
J'en suis à la procédure HJ Fix.

Je te tiens au courant dans qques minutes.

PS : je n'ai pas trouver sur mon PC le 2ème fichier que tu m'avais demandé d'analyser => hp705D.tmp

Répondre à Kobra

Kobra, le 5 aoû 2005 à 23:21:55

Bon, J'ai fait le fix.
Mais après, en mode sans échec, une fois taper la ligne de commande, il me met :
Loadlibrary ("C/\WINDOWS\system32\oleext.dll") a échoué - le module spécifié est introuvable

Je n'ai pas encore passer adaware et spybot (nouvelles versions)

Depuis hier, je n'ai plus le pb PSGuard ni les icones avec point d'exclamation sur ma barre.

Répondre à Kobra

Kobra, le 5 aoû 2005 à 23:33:08

Au fait, j'avais oublié de te donner le rapport sur le premier fichier analysé :

This is a report processed by VirusTotal on 08/05/2005 at 21:59:35 (CET) after scanning the file "vmtalk.exe" file.
Antivirus Version Update Result
AntiVir 6.31.1.0 08.05.2005 no virus found
Avast 4.6.695.0 08.05.2005 no virus found
AVG 718 08.04.2005 no virus found
Avira 6.31.1.0 08.05.2005 no virus found
BitDefender 7.0 08.05.2005 no virus found
CAT-QuickHeal 7.03 08.05.2005 no virus found
ClamAV devel-20050725 08.04.2005 no virus found
DrWeb 4.32b 08.05.2005 no virus found
eTrust-Iris 7.1.194.0 08.04.2005 no virus found
eTrust-Vet 11.9.1.0 08.05.2005 no virus found
Fortinet 2.36.0.0 08.05.2005 no virus found
F-Prot 3.16c 08.05.2005 no virus found
Ikarus 0.2.59.0 08.05.2005 no virus found
Kaspersky 4.0.2.24 08.05.2005 no virus found
McAfee 4551 08.05.2005 no virus found
NOD32v2 1.1187 08.05.2005 no virus found
Norman 5.70.10 08.05.2005 no virus found
Panda 8.02.00 08.05.2005 no virus found
Sophos 3.96.0 08.05.2005 no virus found
Sybari 7.5.1314 08.05.2005 no virus found
Symantec 8.0 08.04.2005 no virus found
TheHacker 5.8.2.081 08.05.2005 no virus found
VBA32 3.10.4 08.05.2005 no virus found
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contact En español

www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

Répondre à Kobra

45 réponses 12 3 Suivant

Posez votre question Répondre