Virus inconnu perte total a lire svp

Bonjour,

On essaye ça :
> Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Si ça ne fonctionne pas, n'insiste pas, on essayera autre chose.

Peux tu encore démarrer en mode sans échec ?

As tu accès à un autre ordinateur avec graveur ?

As tu le CD de windows ? (Xp ? SP 2 ?)
@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

voila kasperski bloque sur le 400 ieme fichier de c: qui devrais etre vide je pense que c est des fichiers d installation win xp je vais reformater cette partition cette nuit vu mon ancien formattage qui a durer 8 h
ps il avait deja trouver 4 infections et deux virus
j espere savoir repondre demain
normalement je sais redemarrer en mode sans echec
je n ai pas acces directement a un autre pc
et je possede win xp pro pac 1 je n ai jamais voulu mettre le pac 2

Re,

Kaspersky ne te donne aucun nom de virus avant de planter ?

Si oui, donne le moi.

@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

C:\dnvheoe.exe Infecté : Backdoor.Win32.Agent.fo ignoré
C:\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\SmitfraudFix.zip ZIP: infecté - 1 ignoré

C:\spnqtdoh.exe Infecté : Trojan-Downloader.Win32.Small.cwj ignoré

voila j ai stopper kasperski avant le fichier qui s appelle restore......
pour le formattage de c: il me dit windows n as pas pu le formatter et cela bien 6 h apres sonlancement

Bonjour,

Par l'explorateur Windows, recherche ibm*.dll.

Si tu trouves ibm00002.dll ou ibm00001.dll, tu les supprimes en urgence. Ce sont des keyloggers de la pire espèce.

Si tu as des informations bancaires, surveille ton compte et prévient ta banque pour voir avec elle ce qu'il faut faire (tu peux avoir un vol des codes de cartes bleues et autres).

Ils ont été installés par Trojan-Downloader.Win32.Small.cwj

Si tu as un problème pour les suprimer, essaye ceci :
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :liste chemin des fichiers/et ou dossiers à supprimer




clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Essaye de détruire tous les fichiers de c:

essaye aussi de vérifier le disque dur (chkdsk).

Fais aussi ceci :
Télécharge HijackThis ici:
http://www.01net.com/...

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


Je repasse plus tard.



@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

voila le rapport et merci de ton aide
pour renseignement j ai du lancer 5 fois le prog pour avoir un rapport car il se coupé toujours avant la fin
Logfile of HijackThis v1.99.1
Scan saved at 13:12:32, on 23/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\cvsys.exe
D:\WINDOWS\System32\dllcache\prsc32.exe
D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\System32\tcpipmon.exe
D:\WINDOWS\System32\tcpipmon.exe
D:\WINDOWS\System32\jvcsun.exe
D:\WINDOWS\System32\MSWDNS32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\MSWDNS32.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\hj\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {7D7CF6D2-361B-4C1B-928A-AE3B2E5EFFD9} - D:\WINDOWS\System32\lcudmeok.dll (file missing)
O2 - BHO: (no name) - {F6F69933-C3F8-437D-891F-18F100D7DB18} - D:\WINDOWS\System32\pmkjh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Network Firewall] D:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\WINDOWS\System32\cvjbjdq.exe
O4 - HKLM\..\Run: [MS Domain Name System] MSWDNS32.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "D:\WINDOWS\System32\hdghqkwt.dll",setvm
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "D:\Documents and Settings\frederic\Local Settings\Temporary Internet Files\Content.IE5\V4FFTMP4\E8FD354[1].exe" -scan
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [javasun] D:\WINDOWS\System32\jvcsun.exe
O4 - HKLM\..\RunServices: [MS Domain Name System] MSWDNS32.exe
O4 - HKLM\..\RunServices: [javasun] D:\WINDOWS\System32\jvcsun.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Domain Name System] MSWDNS32.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C04E3F6-C7E9-473B-AA7E-FBD6BE9CD5FC}: NameServer = 195.238.2.22 195.238.2.21
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C04E3F6-C7E9-473B-AA7E-FBD6BE9CD5FC}: NameServer = 195.238.2.22 195.238.2.21
O20 - Winlogon Notify: rpcc - D:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - D:\WINDOWS\System32\urfclwr.dll
O21 - SSODL: CDRecorder031 - {A3BC5E20-0235-1ABF-9CE1-00AA00512031} - D:\WINDOWS\System32\rstmky32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Control Task Manager - Unknown owner - D:\WINDOWS\system32\cvsys.exe
O23 - Service: Remote Logon Manager - Unknown owner - D:\WINDOWS\system32\smcs.exe (file missing)
O23 - Service: Windows Process Sevices - Unknown owner - D:\WINDOWS\System32\dllcache\prsc32.exe

j ai oublier je n ai rien trouver pour les fichiers bm*.dll

Bonjour,

beaucoup d'infections.

On va télécharger une batterie d'outils, que tu mettras sur ton bureau. Tu les utilisears au fur et à mesure que je te le dirai.

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto

Prenez connaissance du contenu de ce lien:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme Black Light qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
Maintenant faites un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip (de IL-MAFIOSO)
Enregistrez la cible (du lien) sous... et enregistrez-le sur votre bureau.

Télécharge clean.zip de malekal_morte
http://www.malekal.com/download/clean.zip


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau

Tu télécharges Spybot search & destroy ici :spybot
Tuto ici : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm (merci balltrap34)

Tu le configures, tu le mets à jour,


Tu lances, dans l'ordre (si un bloque, tu passes au suivant et tu siganles dans ta réponse) (je te conseille de faire un post chaque fosi qu'un outil a terminé) :





Smitfraud Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.


Navifix Faites un clic droit sur navilog1.zip et choisissez "tout extraire"
Ensuite double cliquer sur navilog1.bat
Laissez vous guider. Au menu principal, choisissez 1 et validez.
(Ne faites pas le choix 2 sans notre avis/accord)
Patientez jusqu'au message :
*** Analyse Termine le ..... ***
Appuyez sur une touche, comme demandé, le bloc note va s'ouvrir.
Copier/coller l'intégralité dans une réponse. Refermez le bloc note.
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Clean.zip Décompresse- clean.zip sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes.
Poste le rapport qui se trouve ici C:\rapport_clean.txt

Spybot : tu l'exécutes et tu détruis tout ce qu'il trouve.

Tu vaccinnes tout

Tu remets un log HijackThis.

Bon courage.

@+
--
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

voila le premier point
SmitFraudFix v2.150

Rapport fait à 14:40:22,06, ven. 23/03/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 go.microsoft.com
127.0.0.1 msdn.microsoft.com
127.0.0.1 office.microsoft.com
127.0.0.1 support.microsoft.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 spywareinfo.com
127.0.0.1 www.spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

D:\WINDOWS\system32\tcpipmon.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\frederic


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\frederic\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\frederic\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Re,

A la première occasion (c'est à dire entre 2 des maneuvres que je te demande, fais ça :

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
------------------------------------------------------------­----------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

voila le deuxieme rapport je fais tout de suite smitfraud en mode sans echec
Search Navipromo version 1.0.7 commencé le ven. 23/03/2007 à 14:44:05,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans D:\WINDOWS ***




*** Recherche dossiers dans D:\Program Files ***




*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans D:\Documents and Settings\frederic\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans D:\WINDOWS\system32 :

D:\WINDOWS\system32\koos.exe
d:\WINDOWS\system32\kprof
d:\WINDOWS\system32\poof

Processus caché(s) dans D:\WINDOWS\system32 :

D:\WINDOWS\system32\koos.exe


*** Recherche fichiers ***




*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]­



Recherche Clé Magic Control



*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le ven. 23/03/2007 à 14:49:58,09 ***

cela devais arrivé plus de demarrage sans echec
l ecran reste noir 5 minutes avec curseur blanc clignotant en haut a gauche puis il reboute
navigateur web commence a deconner plusieur ouverture des pages avant de pouvoir travailler car elles se coupent directement
tu es sur que je devrais pas essaye de tout formater ? et si ca ne marche pas voir mes.4 acheter autre disque dur ?

Re,

toujours entre 2 maneuvres, fais ceci, en mode normal :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


D:\WINDOWS\system32\koos.exe
d:\WINDOWS\system32\kprof
d:\WINDOWS\system32\poof




clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

apres plusieurs tentatives il s est relance en mode sans echec j ai lancé smitfraut et voila
SmitFraudFix v2.152

Rapport fait à 15:19:43,06, ven. 23/03/2007
Executé à partir de D:\Documents and Settings\frederic\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 avira.com
127.0.0.1 www.avira.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.avp.ch
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ftp.sophos.com
127.0.0.1 grisoft.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 merijn.org
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 updates5.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafeehelp.com
127.0.0.1 www.merijn.org
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.ch
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www.zonelabs.com
127.0.0.1 www3.ca.com
127.0.0.1 zonelabs.com

127.0.0.1 www.viruslist.ru

127.0.0.1 www.zonelabs.com

127.0.0.1 www3.ca.com


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\system32\tcpipmon.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

j ai quand meme fais otmoveit et voila

File/Folder D:\WINDOWS\system32\koos.exe not found.
File/Folder d:\WINDOWS\system32\kprof not found.
File/Folder d:\WINDOWS\system32\poof not found.

Created on 03/23/2007 15:27:54

voila je vais continuer avec clean maintenant

et voici dans la foulée le rapport de clean
Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le ven. 23/03/2007 a 15:36:01,07

*** Recherche de fichiers sur D:

*** Recherche des fichiers dans D:\WINDOWS\
D:\WINDOWS\pp.exe FOUND
D:\WINDOWS\system32\dllcache\prsc32.exe FOUND

*** Recherche des fichiers dans D:\WINDOWS\system32
D:\WINDOWS\system32\adirss.exe FOUND
D:\WINDOWS\system32\adirss.exe FOUND
D:\WINDOWS\system32\dd.exe FOUND
D:\WINDOWS\system32\i FOUND
D:\WINDOWS\system32\lnwin.exe FOUND
D:\WINDOWS\system32\ma.exe.exe FOUND
D:\WINDOWS\system32\pp.exe.exe FOUND
D:\WINDOWS\system32\winsub.xml FOUND
D:\WINDOWS\system32\ma.exe.exe FOUND
D:\WINDOWS\system32\pp.exe.exe FOUND
D:\WINDOWS\system32\rpcc.dll FOUND
D:\WINDOWS\system32\wsys.dll FOUND
D:\WINDOWS\System32\wsys.dll FOUND

*** Fin du rapport !

RE,

tu devrais être en train de faire tourner Spybot.

A la fin, en mode normal, tu relances Smitfraudfix option 1 et tu postes le rapport. J'ai un doute sur ce qu'il a fait sur le fichier host et sur les clés. On va pouvoir vérifier.

S'il n'a rien fait et que tu as de gros problèmes de connexion, cherche les fichiesr hosts sur tes disques dur et ouvres les avec le bloc-notes. Tu suppruimes toutes les lignes sauf
127.0.0.1 localhost
cela devrait améliorer les choses.

Après, tu redémarres en mode sans échec et tu fais ceci :

Double clique sur navilog1.bat
Laisse-toi guider. Au menu principal, choisis 2 et valide.
Laisse toi guider et réponds aux questions éventuelles
Ton bureau va disparaitre, c'est normal.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre
Redémarre normalement et copie-colle l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau

Puis :
•- Ouvre le dossier « clean » qui devrait se trouver sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
A la fin,
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.

Il faut finir une éradication que navifix ne sait pas automatiser :

Ferme internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.

Tu remets un log Hijackthis que l'on voit où on en est.

Qu'y a-t-il dans la partition C, en plus de HijackThis ?

Si ce sont des fichiers inutiles, essaie de profiter de ton passage en mode sans échec pour les détruire (et vider ta corbeille et tes quarantaines).
@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

et non spybot netourne pas s instal mais quand je l execute il prend du temp et ouvre une fenetre systeme qui dis spybotsd.exe a rencontre un probleme..........
sur c: retour de fichiers speciaux leur nom sont iqwo ;dnvheoe ;vciabmcc des .exe je suppose
dois je continuer ou attendre ici je vais aller sur le net chercher spybot au cas ou le lien que tu m as donné serais mauvais

avant je t ai sorti le rapport smitfrautfix en mode normal
SmitFraudFix v2.152

Rapport fait à 16:10:22,56, ven. 23/03/2007
Executé à partir de D:\Documents and Settings\frederic\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

D:\WINDOWS\system32\tcpipmon.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\frederic


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\frederic\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\frederic\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="D:\WINDOWS\System32\urfclwr.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

non spybot ne veux rien entendre