Gros Virus ? sur le forum Informatique - 05-02-2008 20:36:12

Primoo

Niveau 10

05 février 2008 à 20:36:12

Bonsoir!
Alors voilà, j'ai reçu un virus sur mon pc, depuis aujourd'hui mon pc bug, toutes les minutes il me met:
-Windows security alert-
Windows has detected an Internet attack attempt. . .
Somedody's trying to infect your PC with spyware or hamful
viruses.Run full system scan now protect your PC from
Internet attacks, hijacking attempts and spyware! Click here
to download spyware remover for total protection.

Je met 'Ok' puis sa me met une page de IE et me met:
-Microsoft Internet Explorer-
NOTICE: If your computer is infected, you could suffer data loss, erratic PC behavior etc..etc..

Puis me met sur une page d'IE avec pleins d'antispy et d'antivirus.
Mon pc me parait plus lent, j'ai AntiVir, quand je fais un Scan il trouve le virus mais j'ai tout essayer, réparer, supprimer, mettre en quarentaine, etc..etc..

je suis aller sur un forum (oui j'ai chercher sur internet), j'ai trouver un forum de CommentCamarche.com et ils montrent plein de rapports, un mec dit que sa vient de deux choses :
winupdate.exe
update32.exe
Il dit d'aller dans regedit, dans windows > system32 et de chercher toutes les clés contenant ces valeurs et les supprimer.

Merci beaucoup pour l'aide que vous allez m'apporter =)

nijleoen

Niveau 9

05 février 2008 à 20:39:27

Hum, il va te falloir attendre le passage d'EvilElf. Seul lui est capable de dire par quoi tu es infecté.

EvilElf

Niveau 10

05 février 2008 à 20:49:35

Yop

Télécharge SmitfraudFix (de S!Ri)
http://siri.urz.free.fr/Fix/SmitfraudFix.php
- Dézippes-le sur le Bureau. Ensuite ouvre le dossier et lance Smitfraudix.(cmd)
- Choisis l'option n°1, et poste le premier rapport ici.

Primoo

Niveau 10

05 février 2008 à 20:50:16

Ouai, mais personne à une petite idée?
Faut-il que je fasse un rapport?
J'ai bien envie d'attendre EvilElf mais j'ai pas trop envie d'attendre, sa me gave vraiment ce virus! Enfin vous me comprenez =/

EvilElf

Niveau 10

05 février 2008 à 20:51:38

Tu es sur un forum, pas un chat, donc les réponses peuvent mettre plusieurs heures.

Primoo

Niveau 10

05 février 2008 à 21:00:14

Oui escuses moi, j'ai pas trop visualiser mon message avant de le poster, et le ton que j'y ai mis (je suis à bout d'enervement ><)
Bon ben j'ai suivit ce que tu m'as dis et ça donne cela:

SmitFraudFix v2.281

Rapport fait à 20:57:08.28, Tue 02/05/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\WINDOWS\VM_STI.EXE
C:\windows\system32\lwcnywtdgl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

EvilElf

Niveau 10

05 février 2008 à 21:01:05

Le rapport est incomplet. Attention de bien tout séléctionner !

Primoo

Niveau 10

05 février 2008 à 21:02:30

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SAB

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SAB\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SAB\Favoris

C:\DOCUME~1\SAB\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\SAB\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\SAB\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\SAB\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\SAB\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\SAB\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="file:///C:\\WINDOWS\\privacy_danger\\ind
ex.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

+-------------------------------------------------
-+
[!] Suspicious: mysidesearch_sidebar.dll
BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}
TypeLib: {A471012F-E2E5-48EB-9A8B-9D4090B1D0C7}
Interface: {B5533239-2826-4FA8-BCFB-A9A44008FF4B}
Interface: {DFB574F4-1846-42F5-9694-1F09223800F9}

+-------------------------------------------------
-+
[!] Suspicious: iebrowserc.dll
BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93}
TypeLib: {3160F356-E8C3-4DE2-A698-92EEEB3D3400}
Interface: {C1A6D8B8-93C3-4186-9DD1-13983F9F1D9B}

[!] Suspicious: WPDShServiceObj.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5}

[!] Suspicious: afxlspw.dll
SSODL: afxlspw - {1D14C1D6-08DC-40DF-9A16-3CC42E55F90F}

[!] Suspicious: bfrgnos.dll
SSODL: bfrgnos - {ECBAA408-B09F-46D1-B409-73B0E0211224}

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.166
DNS Server Search Order: 85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A6EB275A-C3B1-4
91D-9244-8F1263862DBC}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EDE55131-5C88-4
F99-A695-B087DD176701}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F215A774-EA14-4
A33-8613-93F6BF0DBB1B}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS1\Services\Tcpip\..\{EDE55131-5C88-4
F99-A695-B087DD176701}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{A6EB275A-C3B1-4
91D-9244-8F1263862DBC}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{EDE55131-5C88-4
F99-A695-B087DD176701}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{EDE55131-5C88-4
F99-A695-B087DD176701}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F215A774-EA14-4
A33-8613-93F6BF0DBB1B}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{A6EB275A-C3B1-4
91D-9244-8F1263862DBC}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{D676C31F-6D50-4
364-A871-4F9AD7162DC9}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{E99A488A-E9C1-4
000-8A3A-F2E187FFA81F}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{EDE55131-5C88-4
F99-A695-B087DD176701}: NameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F215A774-EA14-4
A33-8613-93F6BF0DBB1B}: DhcpNameServer=85.255.116.166,85.255.112.191

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F38F8685-E4F8-4
846-9BE3-6FF1B766956F}: NameServer=85.255.116.166,85.255.112.191
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.166 85.255.112.191
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.166 85.255.112.191
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.166 85.255.112.191

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

EvilElf

Niveau 10

05 février 2008 à 21:08:41

Ah ouais quand même

A faire dans l'ordre :

Une partie de la procédure se déroulera en mode sans échec, tu n'auras donc pas accès à Internet, je t'invite donc à la sauvegarder dans un fichier texte sur le bureau. De façon à la retrouver en mode sans échec.

Télécharge clean.zip (malekal) :
http://www.malekal.com/download/clean.zip
Dézippe-le, ça va créer un dossier clean. Et c'est tout.

Redémarre en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html

Double-clique sur le dossier clean, puis de nouveau sur clean (cmd). Une fenêtre noire s'ouvre. Dans le menu choisis l'option 2 en appuyant sur la touche 2 de ton clavier. Sauvegarde le rapport.

Relance Smitfraudix, puis choisie l'option 2 et réponds oui a toutes les questions. Enfin, sauvegarde et colle le rapport ici en mode normal. Ainsi que le rapport de clean.

Primoo

Niveau 10

05 février 2008 à 21:36:47

Bon sa me gave, sa fais 10 fois que j'essaye d'aller sur le BIOS mais j'y arrive pas. Il y a pas quelque chose de plus simple y.y ?

wiwi77

Niveau 10

05 février 2008 à 21:59:42

Salut,

Soit tu fais ce que EvilElf t'a proposé de faire, soit tu formates et réinstalles Windows.

Primoo

Niveau 10

05 février 2008 à 22:29:07

Non c'est bon merci, j'ai fais ce qu'EvilElf m'a dis et ça a plutot bien marché!

SmitFraudFix v2.281

Rapport fait à 22:20:27.43, Tue 02/05/2008
Executé à partir de C:\Documents and Settings\SAB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix