Sujet Précédent Sujet Suivant

Publicités :@

Résolu/Fermé
didy200610 - Modifié le 26 oct. 2007 à 19:35
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 - 26 oct. 2007 à 19:35
Bonjour,
derpuis une semaine environ[apres avoir formaté] je reçois des pubs pour télécharger des antivirus.
Ces pubs souvrent avec internet explorer...
je ne sais pas comment arrêter ceci,toute les minutes une publicité s'ouvre.
Il y a un triangle jaune en dessous sur la bare des tâches,et cest de là que proviennent les publicités.
Je vous remercie d'avance,didy.

38 réponses

  • 1
  • 2
Réponse 1 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 17:34
Salut

à mon avis, tu dois être infecté ...

Télécharge ceci :

lien : hijackthis
démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.

++
1
Réponse 2 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 19:59
Ben tu vois que ces rapports ne sont pas inutiles ;-)

il faudrai que l'on sache à présent si reste encore des bébéttes ...

++
1
Réponse 3 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
24 oct. 2007 à 21:52
Salut

cette capture d'ecran dit que le fichier n'est pas décompresser ?!

tu as peut être utiliser le fichier zippé de smitfraud ...

poste un rapport hijackthis en mode normal stp ;-)

++
1
Réponse 4 / 38
didy200610
28 sept. 2007 à 17:35
Bonjour, Merci,je vai le faire.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
didy200610
28 sept. 2007 à 17:41
Bonjour,
ca ouvre une page bloc note...
et il y a pleins de cases a cocher , je fais quoi?
0
Réponse 6 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 17:45
re

il faut poster le contenu du bloc note !

++
0
Réponse 7 / 38
didy200610
28 sept. 2007 à 17:46
Bonjour,
cest pas risqué?
Car ce sont des infos personeles non?
0
Réponse 8 / 38
orlan97460 Messages postés 8 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 28 septembre 2007
28 sept. 2007 à 17:49
bonjour,

Oui, le rapport de ce soft affiche des infos personnelles qui peuven être vus sur le forum.
D'un autre côté tu peux les éffacé de ton log avant de le poster
A+
0
Réponse 9 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 17:50
non pas du tout !

juste un chose, si la session poste ton nom ou ton prénom, et que tu souhaite rester totalement anonyme, voir ici :

gardez votre anonymat

++
0
Réponse 10 / 38
didy200610
28 sept. 2007 à 17:50
Bonjour,
et comment ?
0
Réponse 11 / 38
didy200610
28 sept. 2007 à 17:51
Bonjour,
non mais ce blocnote contient tout les noms de mes programes et leur emplacement.aussi dautres lignes du genre :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
0
Réponse 12 / 38
didy200610
28 sept. 2007 à 17:59
Up'
0
Réponse 13 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 18:00
oui, mais ça , ça n'a rien de confidentielle si ??

regarde dans le forum virus/sécurité, il y a des rapports de toutes sortes, y compris des hijack

il y a parfois des programmes comme des rogues ( qui volent des informations confidentielles eux ! ) qui se sont installés à ton insu, et savoir où il se sont "caché"

à toi de voir !

++
0
Réponse 14 / 38
didy200610
28 sept. 2007 à 18:01
bon je me lance voici le bloc note hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:28, on 28/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Video ActiveX Access\imsmain.exe
C:\Program Files\Video ActiveX Access\imsmn.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {1C3C4699-B285-475F-BE47-0B26088CE876} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\laf2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\laf2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\laf2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\laf2.dll
O22 - SharedTaskScheduler: andropogon - {655560a9-3ca8-4509-9632-6abbef21426b} - (no file)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
0
Réponse 15 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 18:04
là, les bébettes, on les voit ! :)

# Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

++
0
Réponse 16 / 38
didy200610
Modifié le 26 oct. 2007 à 19:35
SmitFraudFix v2.232

Rapport fait à 18:14:14,70, ven. 28/09/2007
Executé à partir de C:\Documents and Settings\Dylan B \Local Settings\Temp\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Video ActiveX Access\imsmain.exe
C:\Program Files\Video ActiveX Access\imsmn.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\laf1.ini PRESENT !
C:\WINDOWS\system32\laf2.dll PRESENT !
C:\WINDOWS\system32\laf2.ini PRESENT !
C:\WINDOWS\system32\laf3.dll PRESENT !
C:\WINDOWS\system32\laf3.ini PRESENT !
C:\WINDOWS\system32\laf4.dll PRESENT !
C:\WINDOWS\system32\laf4.ini PRESENT !
C:\WINDOWS\system32\lgaac.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Dylan B


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Dylan B \Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DYLANB~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{655560a9-3ca8-4509-9632-6abbef21426b}"="andropogon"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Hercules Wireless G USB2 #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{87C777D5-E07F-4AA2-AEAB-8851D971A7E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{87C777D5-E07F-4AA2-AEAB-8851D971A7E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 17 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 18:18
c'est pas triste !

# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum



ensuite :

Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt , poste le stp

++
0
Réponse 18 / 38
didy200610
Modifié le 26 oct. 2007 à 19:35
SmitFraudFix v2.232

Rapport fait à 18:32:48,82, ven. 28/09/2007
Executé à partir de C:\Documents and Settings\Dylan B \Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{655560a9-3ca8-4509-9632-6abbef21426b}"="andropogon"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\laf1.ini supprimé
S!Ri's WS2Fix: LSP not Found.

Problème suppression C:\WINDOWS\system32\laf2.dll
C:\WINDOWS\system32\laf2.ini supprimé
S!Ri's WS2Fix: LSP not Found.

C:\WINDOWS\system32\laf3.dll supprimé
C:\WINDOWS\system32\laf3.ini supprimé
S!Ri's WS2Fix: LSP not Found.

C:\WINDOWS\system32\laf4.dll supprimé
C:\WINDOWS\system32\laf4.ini supprimé
C:\WINDOWS\system32\lgaac.dll supprimé
C:\Program Files\Video ActiveX Access\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{87C777D5-E07F-4AA2-AEAB-8851D971A7E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{87C777D5-E07F-4AA2-AEAB-8851D971A7E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

Problème suppression C:\WINDOWS\system32\laf2.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 19 / 38
didy200610
Modifié le 26 oct. 2007 à 19:35
Voici la rapport :
ComboFix 07-09-21.2 - "Dylan B " 2007-09-28 18:44:35.1 - NTFSx86 MINIMAL
Microsoft Windows XP dition familiale 5.1.2600.2.1252.33.1036.18.283 [GMT 2:00]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Suchspur.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-28 ))))))))))))))))))))))))))))))))))))
.

2007-09-28 18:38 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 18:37 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-09-28 18:37 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-09-28 18:14 2,128 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-28 18:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-28 18:13 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-28 18:13 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-28 18:13 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-28 18:13 25,088 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-09-28 17:40 <REP> d-------- C:\Program Files\Easy Macro Recorder
2007-09-28 17:40 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Easy Macro Recorder
2007-09-28 17:36 <REP> d-------- C:\Program Files\Trend Micro
2007-09-28 13:38 <REP> d-------- C:\Program Files\e-anim701
2007-09-28 10:27 <REP> d-------- C:\Program Files\Dofus
2007-09-28 01:37 <REP> d-------- C:\Program Files\Opera
2007-09-28 01:37 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Opera
2007-09-27 17:42 121,856 --a------ C:\WINDOWS\UnGins.exe
2007-09-27 17:20 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2007-09-27 17:20 <REP> d-------- C:\Program Files\Stardock
2007-09-27 17:20 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2007-09-27 17:12 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Moyea
2007-09-27 14:43 29,696 --a------ C:\WINDOWS\system32\laf2.dll
2007-09-27 10:31 45 ---h----- C:\WINDOWS\dace1320.dat
2007-09-27 10:31 <REP> d-------- C:\Program Files\PhotoFiltre Studio
2007-09-26 20:23 18,944 --a------ C:\WINDOWS\system32\BORLNDMM.DLL
2007-09-26 20:23 <REP> d-------- C:\Program Files\CoffeeCup Software
2007-09-26 16:45 <REP> d-------- C:\Program Files\Speed Gear 5
2007-09-26 15:32 <REP> d-------- C:\Program Files\EasyPHP1-8
2007-09-26 13:26 <REP> d-------- C:\Program Files\Visicom Media
2007-09-25 21:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\NtiDvdCopy
2007-09-25 17:07 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2007-09-25 17:07 <REP> d-------- C:\Program Files\DAP
2007-09-25 16:52 <REP> d-------- C:\DOCUME~1\DYLANB~1\Download Accelerator Plus ( DAP )
2007-09-24 20:03 <REP> d-------- C:\Program Files\Notepad++
2007-09-24 20:03 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Notepad++
2007-09-24 19:07 <REP> d-------- C:\wamp
2007-09-24 12:49 <REP> d-------- C:\Program Files\Windows Live
2007-09-24 12:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2007-09-24 12:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
2007-09-24 12:01 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\vlc
2007-09-24 11:42 <REP> d-------- C:\Program Files\VideoLAN
2007-09-24 10:56 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\DivX
2007-09-24 10:45 <REP> d-------- C:\Program Files\DivX
2007-09-22 17:37 <REP> d-------- C:\Downloads
2007-09-22 17:36 <REP> d-------- C:\Program Files\FlashGet
2007-09-22 08:42 <REP> d--hs---- C:\FOUND.001
2007-09-20 18:17 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Symantec
2007-09-20 18:00 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-09-20 18:00 <REP> d-------- C:\Program Files\Eltima Software
2007-09-20 15:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-09-20 14:41 <REP> d--hs---- C:\FOUND.000
2007-09-19 22:06 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\FileZilla
2007-09-19 22:05 <REP> d-------- C:\Program Files\FileZilla Client
2007-09-19 19:33 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-09-19 17:51 <REP> d-------- C:\DOCUME~1\DYLANB~1\Contacts
2007-09-19 17:49 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-19 17:12 <REP> d-------- C:\Program Files\Emurayden PSX Emulator v2.2
2007-09-19 17:06 <REP> d-------- C:\Program Files\ArtMoney
2007-09-19 17:06 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Nvu
2007-09-19 17:05 <REP> d-------- C:\Program Files\Nvu
2007-09-19 16:17 1,156 --a------ C:\WINDOWS\mozver.dat
2007-09-19 16:15 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-19 15:59 47,251 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-09-19 15:57 2,165 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-09-19 15:57 <REP> d-------- C:\WINDOWS\BricoPacks
2007-09-19 15:57 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\ViStart
2007-09-19 15:32 <REP> d-------- C:\Program Files\SymNetDrv
2007-09-19 15:26 <REP> d-------- C:\Program Files\Ares
2007-09-19 15:17 15,939 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-09-19 15:15 216,320 --a------ C:\WINDOWS\system32\drivers\rt25009x.sys
2007-09-19 15:15 214,912 --a------ C:\WINDOWS\system32\drivers\rt2500.sys
2007-09-19 15:15 143,360 --a------ C:\WINDOWS\system32\drivers\rt25u98.sys
2007-09-19 15:15 140,416 --a------ C:\WINDOWS\system32\drivers\rt2500usb.sys
2007-09-19 15:15 <REP> d-------- C:\Program Files\Hercules
2007-09-18 23:46 <REP> d-------- C:\WINDOWS\system32\QuickTime
2007-09-18 00:42 <REP> d-------- C:\WINDOWS\pss
2007-09-18 00:37 <REP> d--hs---- C:\Recycled
2007-09-18 00:36 65,536 --a------ C:\WINDOWS\system32\SiSHook.dll
2007-09-18 00:36 262,144 --a------ C:\WINDOWS\system32\sistray.exe
2007-09-18 00:36 135,168 --a------ C:\WINDOWS\system32\SiSApCom.dll
2007-09-18 00:36 110,592 --a------ C:\WINDOWS\system32\TVMode.dll
2007-09-18 00:36 <REP> d-------- C:\WINDOWS\SiS
2007-09-18 00:35 <REP> dr------- C:\DOCUME~1\DYLANB~1\Mes documents
2007-09-18 00:35 <REP> dr------- C:\DOCUME~1\DYLANB~1\Menu D‚marrer
2007-09-18 00:35 <REP> dr------- C:\DOCUME~1\DYLANB~1\Favoris
2007-09-18 00:35 <REP> d--h----- C:\DOCUME~1\DYLANB~1\Voisinage r‚seau
2007-09-18 00:35 <REP> d--h----- C:\DOCUME~1\DYLANB~1\Voisinage d'impression
2007-09-18 00:35 <REP> d--h----- C:\DOCUME~1\DYLANB~1\ModŠles
2007-09-18 00:35 <REP> d-------- C:\WINDOWS\system32\trayres
2007-09-18 00:35 <REP> d-------- C:\Program Files\SiS VGA Utilities V3.68
2007-09-18 00:35 <REP> d-------- C:\DOCUME~1\DYLANB~1\Bureau
2007-09-18 00:35 <REP> d-------- C:\DOCUME~1\DYLANB~1\APPLIC~1\Symantec
2007-09-18 00:29 7,168 --a------ C:\WINDOWS\InstFunc.dll
2007-09-18 00:29 49,152 --a------ C:\WINDOWS\system32\SiSPower.dll
2007-09-18 00:29 49,152 --a------ C:\WINDOWS\system32\SiSBase.dll
2007-09-18 00:29 49,152 --a------ C:\WINDOWS\system32\_SiSBase.dll
2007-09-18 00:29 36,864 --a------ C:\WINDOWS\InstFunc.exe
2007-09-18 00:29 258,048 --a------ C:\WINDOWS\system32\SiSParse.dll
2007-09-18 00:29 258,048 --a------ C:\WINDOWS\system32\_SiSParse.dll
2007-09-18 00:29 184,320 --a------ C:\WINDOWS\system32\SiSInst.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-26 20:57 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2004-08-05 03:00:00 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\69_msimn.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
  • Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 18:15]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-02-21 16:29]
"SiSPower"="SiSPower.dll" [2005-07-13 02:55 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 11:39 C:\WINDOWS\soundman.exe]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 17:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-09-19 15:32]
"Emurayden PSX Emulator"="" []
"BootSkin Startup Jobs"="C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" [2004-04-26 16:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-05-17 13:11]
"ares"="C:\Program Files\Ares\Ares.exe" [2007-07-16 23:54]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
"C:\Program Files\Ares\Ares.exe" -h

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]
C:\PROGRA~1\DAP\DAP.EXE /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 int15.sys;int15.sys;\??\C:\Acer\Empowering Technology\eRecovery\int15.sys
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 wampapache;wampapache;"c:\wamp\apache2\bin\httpd.exe" -k runservice
S3 wampmysqld;wampmysqld;c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld
  • Newly Created Service* - INT15.SYS

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-21 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - Dylan B .job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
.


*


catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 19:43:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


*

.
Completion time: 2007-09-28 19:45:02 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-28 19:45
.
--- E O F ---
0
Réponse 20 / 38
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
28 sept. 2007 à 19:52
ok , poste un nouveau hijack et précise l'évolution de la situation stp

++
0

Discussions similaires

Message "Un bloqueur de publicité empêche la lecture..."
pistouri -
pistouri -

0 réponse
Publicité s'ouvre toute seule ! ?
RRD91 -
crisgoss -

51 réponses
Impossible de créer un compte Facebook Business Manager
Lely -
Malkii -

35 réponses
Pub intempestive sur smartphone Android.
Camitte -
Yoyo -

31 réponses
Pub incessantes sur mon téléphone
safiya.l -
Mia -

6 réponses