J'ai un virus : isaas.exe

Salut

Utiliser SmitfraudFix pour éradiquer winsrv32.exe :
http://www.hijackfree.com/fr/proces[...]details/?id=920

Et voir sur ce lien pour la désinfestation de winsrv32.exe :
http://www.zebulon.fr/articles/SmitfraudFix.php

Faire la méthode 1 et puis 2

Et puis refais un log avec HijackThis la version française ici :

Télécharger HijackThis 1.99.1 vf http://pchelpbordeaux.free.fr/logiciels.html

--- Clic sur Les logiciels et clic sur HijackThis (HJT) pour le télécharger, une foie télécharger clic dessus, il va s’installer sur C:\Program Files\Hijackthis Version Française
--- fermer toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).
--- lancer HJT et clic sur scanner disque et sauvegarder le log.
--- une fenêtre Notepad s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
--- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.
--- fermer la fenêtre Notepad ; fermer la fenêtre HijackThis.
--- attendre l'analyse et la réponse des spécialistes des logs HijackThis

@+

Bonjour polo74

a) Ton rapport est bien infecté, la désinfection va se dérouler en plusieurs étapes, il faudra les suivre scrupuleusement

b) Télécharger et installer cette version d'hijackthis HijackThis 1.99.1 version française http://pchelpbordeaux.free.fr/frame[...]jackthis_vf.exe La tienne est mal placée celle-ci dispose d'un installateur qui mettra hijackthis dans le bon dossier

c) Imprime cette réponse pendant le mode sans échec tu n'aura pas accés au net

1) Télécharger et installer

- Ccleaner http://www.sosordi.net/Telechargeme[...]el-147-ccleaner
- La version d'évaluation d'ewido http://download.ewido.net/ewido-setup.exe

* Pendant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
Lance Ewido Security Suite. Clique sur Mise à jour La mise à jour faite quitte ewido

- Télécharger SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Dézippe ce fichier sur ton bureau

2) Navigateur fermé ainsi que toutes les applications en cours

* Navigateur fermé ainsi que toutes les applications en cours

- Ouvre le dossier SmitfraudFix
- Double clic sur SmitfraudFix.cmd choisis l'option 1 et Entrée
- Un rapport sera généré poste le

*** Ne fais pas l'option2 pour le moment


3) Redémarre ton PC en mode sans échec http://www.sosordi.net/Faq/Faq.2.html Impératif !!!

4) Relances Hijackthis, clique sur le bouton Scanner seuleument coche la case devant les lignes suivantes

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: winapi32.MyBHO - {62E2E094-F989-48C6-B947-6E79DA2294F9} - C:\WINDOWS\System32\winapi32.dll
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe

O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 Technologies Player) - https://bestbuy.mvm.com/bb_ki_ctx/j[...]yer/2020PlayerA X_Win32.cab


- Clique sur Fixer obget


5) Autorise l'affichage des fichiers et dossiers cachés de cette façon

Citation :

Poste de travail menu Outils - Option des dossiers onglet Affichage Cocher Afficher les Fichiers et dossiers cachés Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) Décocher Masquer les extensions dont le type est connu clique sur Appliquer et Ok pour valider les changements

- Supprime ces fichiers
C:\WINDOWS\System32\ winapi32.dll
C:\WINDOWS\System32\ runsrv32.exe
C:\WINDOWS\System32\ susp.exe
C:\WINDOWS\System32\ winsrv32.exe

6) Utilise Ccleaner pour faire le ménage sur ton disque dur
Dans Nettoyeur
Laisse cochée les cases des onglets Windows et Applications
Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

7) Fais un scan avec ewido
* Clique sur Scanner puis sur Scan complet du système
* Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée
* A la fin du scan, Sauver le rapport

8) Redémarre ton pc en mode normal, poste un nouveau rapport d'hijackthis, poste aussi le rapport d'ewido et de SmitfraudFix

Edité par Geronimo le 10/05/2006 à 12:27

Merci,

la commuanuté SOS ordi est toujours aussi présente et pertinente,
en fait je dois vous avouer la chose suivante: comme j'ai posté mon message à une heure tardive (décalage horaire du Canada oblige) j'ai de mon côté installé Kaspersky et viré Avast, il m'a fait un grso coup de balai et depuis plus rien.

Merci encore en tout cas !!!

Polo74

Salut polo74

Suivre à la lettre les conseils de Géronimo

On se connecte demain ici vers 7.30 hrs du Québec si tu veux des explication sur la procédure de Géronimo.

Donnes des nouvelles

@+

Bonjour polo74

Di j'ai un bon conseil à te donner c'est de refaire un scan avec Hijackthis et de vérifier avec ma réponse précédente qu'effectivement toutes les bestioles ont bel et bien disparu.

C'est surtout valable pour cette ligne

Citation :

O2 - BHO: winapi32.MyBHO - {62E2E094-F989-48C6-B947-6E79DA2294F9} - C:\WINDOWS\System32\winapi32.dll

C'est une bestiole du type CoolWebSearch et kaspersky n'est pas vraiment armé pour s'en occuper, ni aucun antivirus d'ailleurs

Bonjour à tous,

voilà j'ai fait comme vous me l'avez conseillé.
Il faut savoir que depuis, les problèmes suivants se sont ajoutés à la liste:

- J'ai SpyFalcon, un faux logicile qui se lance automatiquement
- Ma CPU varie et se bloque parfois à 100%
- J'ai 4 fichiers détéctés par les antivirus mais que je ne peux pas supprimer car ils dépendent de windows:
APPMAGR.dll
ATMCLK.exe
HP946B.TMP
IDA64D.TMP (tous en quarantaine )



Voici mes rapports:



SmitFraudFix v2.44

Rapport fait à 22:27:40,74, 14/05/2006
Executé à partir de C:\Documents and Settings\Polo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\adware-sheriff-box.gif PRESENT !
C:\WINDOWS\adware-sheriff-header.gif PRESENT !
C:\WINDOWS\alexaie.dll PRESENT !
C:\WINDOWS\alxie328.dll PRESENT !
C:\WINDOWS\alxtb1.dll PRESENT !
C:\WINDOWS\antispylab-logo.gif PRESENT !
C:\WINDOWS\blue-bg.gif PRESENT !
C:\WINDOWS\BTGrab.dll PRESENT !
C:\WINDOWS\buy-now-btn.gif PRESENT !
C:\WINDOWS\close-bar.gif PRESENT !
C:\WINDOWS\corner-left.gif PRESENT !
C:\WINDOWS\corner-right.gif PRESENT !
C:\WINDOWS\dlmax.dll PRESENT !
C:\WINDOWS\facts.gif PRESENT !
C:\WINDOWS\footer.giff PRESENT !
C:\WINDOWS\free-scan-btn.gif PRESENT !
C:\WINDOWS\h-line-gradient.gif PRESENT !
C:\WINDOWS\header-bg.gif PRESENT !
C:\WINDOWS\infected.gif PRESENT !
C:\WINDOWS\info.gif PRESENT !
C:\WINDOWS\no-icon.gif PRESENT !
C:\WINDOWS\Pynix.dll PRESENT !
C:\WINDOWS\reg-freeze-box.gif PRESENT !
C:\WINDOWS\reg-freeze-header.gif PRESENT !
C:\WINDOWS\remove-spyware-btn.gif PRESENT !
C:\WINDOWS\susp.exe PRESENT !
C:\WINDOWS\true-stories.gif PRESENT !
C:\WINDOWS\spyware-sheriff-header.gif PRESENT !
C:\WINDOWS\spyware-sheriff-box.gif PRESENT !
C:\WINDOWS\star.gif PRESENT !
C:\WINDOWS\star-grey.gif PRESENT !
C:\WINDOWS\warning-bar-ico.gif PRESENT !
C:\WINDOWS\win-sec-center-logo.gif PRESENT !
C:\WINDOWS\windows-compatible.gif PRESENT !
C:\WINDOWS\yes-icon.gif PRESENT !
C:\WINDOWS\ZServ.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\a.exe PRESENT !
C:\WINDOWS\system32\alxres.dll PRESENT !
C:\WINDOWS\system32\bridge.dll PRESENT !
C:\WINDOWS\system32\CWS_iestart.exe PRESENT !
C:\WINDOWS\system32\dailytoolbar.dll PRESENT !
C:\WINDOWS\system32\dcomcfg.exe PRESENT !
C:\WINDOWS\system32\exuc32.tmp PRESENT !
C:\WINDOWS\system32\jao.dll PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mirarsearch_toolbar.exe PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\questmod.dll PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\runsrv32.dll PRESENT !
C:\WINDOWS\system32\runsrv32.exe PRESENT !
C:\WINDOWS\system32\shellgui32.dll PRESENT !
C:\WINDOWS\system32\simpole.tlb PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\tcpservice2.exe PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\txfdb32.dll PRESENT !
C:\WINDOWS\system32\udpmod.dll PRESENT !
C:\WINDOWS\system32\wstart.dll PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Polo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\POLO\FAVORIS

C:\DOCUME~1\POLO\FAVORIS\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\POLO\BUREAU\SpyFalcon.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Security Toolbar\ PRESENT !
C:\Program Files\SpyFalcon\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{64ba30a2-811a-4597-b0af-d551128be340}"="AppManager"

[HKEY_CLASSES_ROOT\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
@="C:\WINDOWS\System32\appmagr.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}\InProcServer32]
@="C:\WINDOWS\System32\appmagr.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Logfile of HijackThis v1.99.1
Scan saved at 22:16:12, on 14/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.hec.ca/proxy/etudiant.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp946B.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Pando] C:\Program Files\Pando Networks\Pando\Pando.exe /Automation
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 Technologies Player) - https://bestbuy.mvm.com/bb_ki_ctx/j[...]yerAX_Win32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB01C107-EB96-47F1-9021-A6C39C42F505}: NameServer = 195.186.1.111,195.186.4.111
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 23:22:33, 14/05/2006
+ Somme de contrôle: F9957E7B

+ Résultats du scan:

HKLM\SOFTWARE\Alexa Internet -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AlxTB.BHO -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AppID\DailyToolbar.DLL -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Bridge.brdg -> Adware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB} -> Adware.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E52DEDBB-D168-4BDB-B229-C48160800E81} -> Hijacker.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\DailyToolbar.IEBand -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\DailyToolbar.SysMgr -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\IEToolbar.AffiliateCtl -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\jao.jao -> Adware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\PopMenu.Menu -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Popup.PopupKiller -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\DailyToolbar -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{736b5468-bdad-41be-92d0-22ae2ddf7bcb} -> Adware.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\SpyFalcon -> Adware.SpyFalcon : Nettoyer et sauvegarder
HKLM\SOFTWARE\NIX Solutions -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\NIX Solutions\DailyToolbar -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\RespondMiter -> Adware.VX2 : Nettoyer et sauvegarder


::Fin du

Bonjour polo74

a) Ces fichiers :
APPMAGR.dll
ATMCLK.exe
HP946B.TMP
IDA64D.TMP
- Ce ne sont pas des fichiers de windows mais des bestioles

b) Imprime cette réponse tu n'aura pas accés au net pendant le mode sans échec

1) Désactive la restauration systéme http://www.sosordi.net/Astuce/Astuce.29.html
2) Redémarre ton PC en mode sans échec http://www.sosordi.net/Faq/Faq.2.html Impératif !!!

3) Ouvre le dossier SmitfraudFix
- Double clic sur SmitfraudFix.cmd choisis l'option 2 et Entrée
- Réponds O(oui) à ces deux questions si elles te sont posées
Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?
- Un rapport sera généré

4) Relances Hijackthis, clique sur le bouton Scanner seuleument coche la case devant les lignes suivantes

*** Aprés le passage de SmitfraudFix certaines de ces lignes ne seront sans doute plus présentes

O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp946B.tmp (file missing)
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

- Clique sur Fixer obget

5) Autorise l'affichage des fichiers et dossiers cachés des cette façon

Citation :

Poste de travail menu Outils - Option des dossiers onglet Affichage Cocher Afficher les Fichiers et dossiers cachés Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) Décocher Masquer les extensions dont le type est connu clique sur Appliquer et Ok pour valider les changements

6) Supprime si encore présents

C:\WINDOWS\System32\ runsrv32.exe <== Ce fichier
C:\WINDOWS\System32\ susp.exe <== Ce fichier

C:\Program Files\ Security Toolbar <== Ce dossier
C:\Program Files\ SpyFalcon <== Ce dossier

7) Utilise Ccleaner pour faire le ménage sur ton disque dur
Dans Nettoyeur
Laisse cochée les cases des onglets Windows et Applications
Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

8) Redémarre ton pc en mode normal, poste un nouveau rapport d'hijackthis ainsi que le second rappord de SmitfraudFix

Bonjour,

j'ai fait ce qui a été demandé, voici:

SmitFraudFix v2.44

Rapport fait à 18:01:18,23, 15/05/2006
Executé à partir de C:\Documents and Settings\Polo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin




Logfile of HijackThis v1.99.1
Scan saved at 18:01:57, on 15/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.hec.ca/proxy/etudiant.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Pando] C:\Program Files\Pando Networks\Pando\Pando.exe /Automation
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FLASHGET\jc_link.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB01C107-EB96-47F1-9021-A6C39C42F505}: NameServer = 195.186.1.111,195.186.4.111
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Voilà, merci encore !

Polo

Bonjour polo74

Le dernier rapport d'hijackthis ne recéle plus aucune trace d'infection.

As tu toujours des problémes ?

Tout à l'air de bien se passer, je vous remercis beaucoup !!!
Trés efficace cette communauté pro !

Polo

Réponse automatique :

Cette question est résolue

Il n'y a pas de quoi polo74 à ton service