"Sécurity warning" [Résolu]

Slt,

- Télécharge le logiciel SmitfraudFix crée par S!Ri :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip et décompresse le.

- Ouvre le dossier "SmitfraudFix" qui sera apparu, double clic sur "Smitfraudfix.cmd", choisis l’option 1, un log va être généré…

Copie et colle le rapport sur le forum.

Ensuite

Fais cette manipulation :

- Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

- Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.

Colle le nouveau rapport après.

a+

Voilà le premier:
SmitFraudFix v2.119

Rapport fait à 13:02:58,03, 04/11/2006
Executé à partir de C:\Documents and Settings\Fff\Bureau\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ismini.exe PRESENT !
C:\WINDOWS\system32\drvmam.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fff\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Je vais faire le second....

Si tu ne te trompes pas, l'icône disparaîtra :)

Je reviendrai ce soir, si tu as d'autres problèmes...

a+

Voici le second en mode sans echec Option 2:
SmitFraudFix v2.119

Rapport fait à 13:13:18,84, 04/11/2006
Executé à partir de C:\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ismini.exe supprimé
C:\WINDOWS\system32\drvmam.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin



Il ne m'a rien demandé donc je n'ai pas eut à lui dire oui !!!
L'icone en question est toujours là...

C'est quoi exactement que je viens de faire !?

J'ai passé Ad-aware, Spybot et Ccleaner.
Le dernier voit ce fichier : C:\WINDOWS\TEMP\win252.tmp.exe 32,50KB, mais ne l'enlève pas.
Manuellement, je ne peux pas le faire, il est inaccessible...

J'ai enlevé ce fichier, mais l'icone est toujours présente !!!
Je pense que c'est une "connerie" pour me faire aller sur un site internet....

Slt,

Pour avancer Kristopher que je salue bien baaass...


Fais ce qui suit

F - Hijackthis - Outil de diagnostic et réparation
lire démo
http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge version française ici
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
Copie/colle le rapport

Bon courage

A++


Evite les caractères en gras, c'est pas agréable du tout Merci

Bonsoir,

Voici le rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:48:45, on 04/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvmam.dll,startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci

Kristopher ??

Slt

Tu es toujours en SP1, ==><Platform: Windows XP SP1 (WinNT 5.01.2600)

Tu devrais installer le SP2 ==> plus de protections

http://search.microsoft.com/results.aspx?q=Windows+XP+sp2&l=1&mkt=fr-FR&FORM=QBME1

Bonjour à tous :)

Gribouille, restons simple - laisse les rapports tels quels, sans t'amuser à les mettre en gras ou entre balises car ça rend la lecture plus difficile pour tout le monde. Merci.

Le fichier qui est la source de ton appréhension c'est drvmam.dll.

Avant de le supprimer, il serait judicieux de l'analyser :

1/ Affiche tous les fichiers et dossiers :

Clique sur "démarrer" -> "Panneau de configuration" -> "Outils" (tout en haut) -> "Options des dossiers..." -> "Affichage".

Coche :
"afficher les fichiers et dossiers cachés"
Décoche les cases :
"masquer les fichiers protégés du système d'exploitation (recommandé)"
"masquer les extensions dont le type est connu"

Clique sur "Appliquer", puis "Ok"

2/ Rends toi sur http://www.virustotal.com/flash/index_en.html
Clique sur "Parcourir..." et cherche le fichier en gras :
C:\WINDOWS\system32\drvmam.dll
Attends que le rectangle soit vert (à droite) et clique sur "Send".
Une fois le scan terminé, copie/colle le rapport sur le forum.

Bon dimanche.

Bizz ^^Marie^^

Salut,

Voici le rapport Virustotal: (pas très probant)
Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 no virus found
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.05.2006 no virus found
CAT-QuickHeal 8.00 11.04.2006 no virus found
ClamAV devel-20060426 11.05.2006 no virus found
DrWeb 4.33 11.05.2006 BACKDOOR.Trojan
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 no virus found
Ewido 4.0 11.05.2006 no virus found
Fortinet 2.82.0.0 11.05.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.04.2006 no virus found
NOD32v2 1.1853 11.03.2006 no virus found
Norman 5.80.02 11.03.2006 no virus found
Panda 9.0.0.4 11.04.2006 Suspicious file
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found

Slt,

Tu as fait le <10> ???


Bizz Kritopher

C'est quoi le <10> ?

< 10 > - "Sécurity warning"
Ajouté par ^^Marie^^ (05/11/2006 à 11:35 GMT+1)
Slt

Tu es toujours en SP1, ==><Platform: Windows XP SP1 (WinNT 5.01.2600)

Tu devrais installer le SP2 ==> plus de protections

http://search.microsoft.com/results.aspx?q=Windows+XP+sp2&l=1&mkt=fr-FR&FORM=QBME1

Je suis désolée, mais je ne vois pas ce que tu veux dire par:
<10> "Security Warning"

PARDON !
Je viens de comprendre...

J'ai voulut le faire une fois et ça m'a fais tellement de problème que j'ai laissé tombé ! De plus, ce PC n'est pas sur internet...

Je voudrais comprendre d'où vient cette icone rouge avec un point d'exclamation jaune !!

Salut,

Il est temps d'en finir avec ce truc.

1/ - Télécharge Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe
Déconnecte toi du net.

Double clic sur killbox.exe (Pocket Killbox)

- Coche : "Delete on reboot"
- Dans "Full Path of File to Delete"
copie et colle ceci :

C:\WINDOWS\system32\drvmam.dll

- clique sur la croix blanche sur le fond rouge.
- une fenêtre va apparaître pour confirmation : clique sur "YES".
- une seconde fenêtre te demande si tu veux redémarrer : clique sur "YES".

Laisse le PC redémarrer.
Si tu as le message suivant : "pending file rename operations registry data has been removed by external process.", ignore-le et redémarre ton PC manuellement.
En image : http://tinypic.com/jsj7kl.jpg

2/ Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) :
http://www.bitdefender.fr/scan8/ie.html
Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Ensuite, clique sur "Cliquez ici pour scanner".
Patiente jusqu'à la fin du scan...
Copie/colle le rapport entier sur le forum.

a+

Le problème étant que je 'utilise pas IE, et ne souhaite vraiment pas l'utiliser....

Et alors ? tu peux faire quand même le 1/ non ?

Enfin si tu veux garder tes infections, fais comme tu veux...

Mais je m'étonne un peu quand même :

Comment fais-tu pour les mises à jour et les différents scans en ligne sans passer par IE ? (je devine que c'est une question philosophique, sans réponse. Ou plutôt avec une réponse sous-entendue lol)

a+