mon ordi rameFermé

Question

Bonjour,il y a un message qui affiche qu il y a des spyware sur mon ordi mai j ai deja avast

jorginho67 · Answer

Salut

mai j ai deja avast

LOL...

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau

RSIT est un logiciel permettant (uniquement) de Diagnostiquer les répertoires sensibles, il n'éffectue aucune suppression.

Double-clique sur RSIT.exe qui se trouve sur votre bureau pour le lancer:

Lors de l'apparition de l'écran " Disclaimer of Warranty " clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (qui sera affiché)

( edition => sélectionner tout => clic droit => copier puis colle le ici )

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

fabou · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Chambe at 2009-09-18 20:52:56
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 101 GB (86%) free of 117 GB
Total RAM: 511 MB (15% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:48, on 18/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Eden Flirt\EdenFlirt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hwvhu5wb.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Chambe\Local Settings\Temporary Internet Files\Content.IE5\81MN89IV\RSIT[1].exe
C:\Program Files	rend micro\Chambe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [EdenFlirt] C:\Program Files\Eden Flirt\EdenFlirt.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [hwvhu5wb.exe] C:\WINDOWS\system32\hwvhu5wb.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

jorginho67 · Answer

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme. 
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Tutoriel

Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système.


Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur Parcourir et cherche ce fichier : (en gras ci dessous )

C:\WINDOWS\system32\hwvhu5wb.exe  


Clique sur Send File.

Tu devras surement patienter, il y a toujours une file d'attente.
Un rapport va s'élaborer ligne à ligne.

Attends la fin. Tu dois voir la mention Finished sur la droite.
Le rapport  doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie/colle le dans ta prochaine réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant.

fabou · Answer

je ne trouve pas send file

jorginho67 · Answer

change de lunettes... ;-p

fabou · Answer

mise à jour Résultat a-squared 4.5.0.24 2009.09.25 Trojan.Win32.FakeSpyguard!IK AhnLab-V3 5.0.0.2 2009.09.25 - AntiVir 7.9.1.25 2009.09.25 TR/Fake.wsc.126 Antiy-AVL 2.0.3.7 2009.09.25 - Authentium 5.1.2.4 2009.09.25 - Avast 4.8.1351.0 2009.09.24 - AVG 8.5.0.412 2009.09.25 SHeur2.BELV BitDefender 7.2 2009.09.25 - CAT-QuickHeal 10.00 2009.09.25 Trojan.FakeSmoke ClamAV 0.94.1 2009.09.25 - Comodo 2433 2009.09.25 - DrWeb 5.0.0.12182 2009.09.25 - eSafe 7.0.17.0 2009.09.24 - eTrust-Vet 31.6.6760 2009.09.25 - F-Prot 4.5.1.85 2009.09.24 - F-Secure 8.0.14470.0 2009.09.25 - Fortinet 3.120.0.0 2009.09.25 - GData 19 2009.09.25 - Ikarus T3.1.1.72.0 2009.09.25 Trojan.Win32.FakeSpyguard Jiangmin 11.0.800 2009.09.25 - K7AntiVirus 7.10.853 2009.09.24 - Kaspersky 7.0.0.125 2009.09.25 - McAfee 5751 2009.09.24 FakeAlert-IT McAfee+Artemis 5751 2009.09.24 FakeAlert-IT McAfee-GW-Edition 6.8.5 2009.09.25 Heuristic.LooksLike.Win32.Suspicious.C Microsoft 1.5005 2009.09.23 Trojan:Win32/FakeSmoke NOD32 4457 2009.09.25 a variant of Win32/Kryptik.AMH Norman 6.01.09 2009.09.25 W32/FakeAV.X!genr nProtect 2009.1.8.0 2009.09.25 - Panda 10.0.2.2 2009.09.24 Suspicious file PCTools 4.4.2.0 2009.09.25 - Prevx 3.0 2009.09.25 Medium Risk Malware Rising 21.48.44.00 2009.09.25 - Sophos 4.45.0 2009.09.25 - Sunbelt 3.2.1858.2 2009.09.24 - Symantec 1.4.4.12 2009.09.25 - TheHacker 6.5.0.2.017 2009.09.24 - TrendMicro 8.950.0.1094 2009.09.25 - VBA32 3.12.10.11 2009.09.25 - ViRobot 2009.9.25.1956 2009.09.25 - VirusBuster 4.6.5.0 2009.09.25 - Information additionnelle File size: 426496 bytes MD5...: 9ee930cf3687a8bb7cd1cbaf7fb15e47 SHA1..: 49c1dcb76960bdb34abe65a4edc0f414382e7eb3 SHA256: 21eb72d2fa70a829ce93e88d6c10ccb52919d3f18a2c8a72fca48430b8e08a38 ssdeep: 12288:ojY3apd/AGTpJOUu4/mNPHWY3+xQbZnOq2p:j3WCG1JdexHB+x0e PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x30000 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 10 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x11844 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e DATA 0x13000 0x57c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e BSS 0x14000 0xa4d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x15000 0xa68 0xc00 4.34 f292f60f389d755b9205297ec29c0818 .tls 0x16000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x17000 0x18 0x200 0.20 550c4af1e329a7938314f643461eb7bb .delete 0x18000 0x16fc 0x200 6.22 7563951072608943ff5340f1edc31b8a .rsrc 0x1a000 0x15800 0x14800 4.82 fea789d70714eb857dd4a9c1586093b7 .pklstb 0x30000 0x10e00 0xd000 0.00 d41d8cd98f00b204e9800998ecf8427e .relo2 0x41000 0x4e 0x200 0.00 d41d8cd98f00b204e9800998ecf8427e ( 10 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > kernel32.dll: WriteFile, WinExec, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, MoveFileA, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle > user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit > URLMON.DLL: URLDownloadToFileA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: Microsoft Corporation copyright....: Microsoft Corporation. All rights reserved. product......: Microsoft Windows Operating System description..: Microsoft Corporation original name: file.exe internal name: file.exe file version.: 5.1.2600.5512 (xpsp.080413-2108) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned http://info.prevx.com/aboutprogramtext.asp?PX5=4A1375C8004E2F5F822206EBD3AEE50036920CEA trid..: Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

jorginho67 · Answer

Re,

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34

Installe le à la racine de C : tuto d'utilisation

Double clique sur l'exe pour le décompresser et lancer le fix.

Utilisation option 1 Recherche :

Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Tutoriel d'aide

@+

Mon ordi rame

7 réponses

Discussions similaires

Newsletters