privacy danger

[yannickc9433]

Bonjour,
J'ai moi aussi été infecté par ce virus "your privacy is in danger" et j'ai suivi votre procédure pour le supprimer.
Je vous joins donc les 2 fichiers de rapport.
Felicitation pour vos explications et merci d'avance pour votre aide qui pourrait m'éviter de formater mon disque.

[Cyrrus]

Bonsoir,

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport.

Bonne soirée
Cyrrus

[yannickc9433]

Bonjour,
Ci-dessous le rapport suite à l'execution de SmitfraudFix.exe:

 Cliquez pour afficher

****************************** ***************************
SmitFraudFix v2.274

Rapport fait à 11:24:51,96, 18/01/2008
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\B ureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.e xe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\Ati2evxx.e xe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Logitech\Video\LogiTray. exe
C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVComsX.ex e
C:\Program Files\Logitech\Video\FxSvr2.ex e
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jus ched.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\Back Web-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor. exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\drivers\CD AC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.ex e
C:\WINDOWS\system32\SLEE12.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.e xe
C:\WINDOWS\system32\svchost.ex e
C:\PROGRA~1\Yahoo!\MESSEN~1\ym sgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingSe rvice.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStore Svr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cidaemon.e xe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\A pplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris

C:\DOCUME~1\COMPAQ~1\Favoris\E rror Cleaner.url PRESENT !
C:\DOCUME~1\COMPAQ~1\Favoris\P rivacy Protector.url PRESENT !
C:\DOCUME~1\COMPAQ~1\Favoris\S pyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\COMPAQ~1\Bureau\Er ror Cleaner.url PRESENT !
C:\DOCUME~1\COMPAQ~1\Bureau\Pr ivacy Protector.url PRESENT !
C:\DOCUME~1\COMPAQ~1\Bureau\Sp yware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Hom e"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\ KASPER~1\\KASPER~1.0\\adialhk. dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip \..\{2FFED1F1-3C5C-4FEF-A349-C387946747A3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip \..\{870DB5F0-C8A0-4C75-98AA-FDA2CC4E1A61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip \..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip \..\{2FFED1F1-3C5C-4FEF-A349-C387946747A3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip \..\{870DB5F0-C8A0-4C75-98AA-FDA2CC4E1A61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip \..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip \..\{2FFED1F1-3C5C-4FEF-A349-C387946747A3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip \..\{870DB5F0-C8A0-4C75-98AA-FDA2CC4E1A61}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip \..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip \Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip \Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip \Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Cyrrus]

Bonsoir,

Les rapports doivent être postés en pièces jointes.

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

Bonne soirée
Cyrrus

[yannickc9433]

Bonsoir,
J'ai donc lancé SmitfraudFix.exe avec l'option 2 en mode sans échec.
Par manque de patience, je suis allé plus loin en suivant les solutions apportées par ce forum.
Donc :
- Scan avec AVG Anti-spyware en mode sans échec.
- Scan en ligne avec Kaspersky qui m’aurait trouvé 2 virus (je suis protégé par Kaspersky Internet Security 6).
A cette heure, je ne suis plus embêté que par des alertes sécurité, des ouvertures de pages web de site de protection et l’apparition de 3 icônes sur le bureau (Error Cleaner, Privacy protector et Spyware & Malware Protection) après environ 5 heures de connexion.
Ces problèmes disparaissent après l’utilisation de SmitfraudFix.exe option 2 en mode sans échec et reviennent après 5 heures.
Je te poste tous les rapports.
Merci d’avance pour ton aide.

[Cyrrus]

Bonsoir,

Citation:

Par manque de patience, je suis allé plus loin en suivant les solutions apportées par ce forum.

Par manque de patience tu peux bousiller ton pc aussi tu le sais ?

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le, en pièce jointe, dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Bonne soirée
Cyrrus

[yannickc9433]

Bonsoir,
Désolé de ne pas avoir fait preuve de plus de patience.
Je te joins le rapport de Fixnavi.
Merci.

[Cyrrus]

Bonsoir yannick,

Tu as encore des pubs ? Je n'avais pas remarqué, je ne sais pas ce que tu as fait avec smitfraudfix mais le second rapport n'est pas du tout cohérent.

Supprime les logiciels que je t'ai fait téléchargé (Smitfraufix etFixnavilog) et recommence :

Citation:

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport.

[yannickc9433]

Bonsoir,
oui oui, j'ai encore des pubs pour antivirus et des alertes sécurité qui reviennent au démarrage et ensuite toutes les 5 heures.
Ces problèmes partent aprés un nettoyage avec Smitfraudfix option 2 et c'est reparti pour 5 heures.
Je t'envoie un nouveau rapport avec le nouveau Smitfraudfix.
Merci.

[Cyrrus]

Bonsoir,

1. Lance HiJackThis, choisis Open the Misc tools sections, clique sur open Uninstall manager, clique sur Save list, enregistre le fichier et poste le rapport en pièce jointe dans ta prochaine réponse.

Lance HiJackThis, choisis Open the Misc Tools Sections, clique sur Open Hosts file manager, clique sur Open Notepad, sauvegarde le rapport créé et poste le dans ta prochaine réponse.

Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :

• List also minor sections (full)
• List empty sections (complete)

Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.

2. Lance Hijackthis, clique sur Do a system scan only et coche lesl ignes suivantes :

Code:

O21 - SSODL: agrlmvp - {1FAD05AD-BB51-4C2C-A969-26499F258A1C} - C:\WINDOWS\agrlmvp.dll
O21 - SSODL: bmlvqkn - {DCD4E524-3347-437E-868A-1717623A7066} - C:\WINDOWS\bmlvqkn.dll

Clique sur Fix Checked.

3. Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\agrlmvp.dll
  C:\WINDOWS\bmlvqkn.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Poste le rapport d'ot move it, la stratup list ainsi qu'un nouveau rapport hijackthis.

Bonne soirée
Cyrrus

[yannickc9433]

Bonsoir,

Je t'envoie 2 rapports Hijackthis, le rapport "hosts file manager" est vierge.
J'ai aussi fait le fix aprés scan.
Pour le téléchargement de OTMovelt, le site est indisponible. J'essaye à nouveau demain.
merci pour ton aide.

[Cyrrus]

Bonjour,

Pour otmoveit c'est normal.

Supprime ta version de Smitfraudfix.

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Bonne journée
Cyrrus

[yannickc9433]

Bonsoir,
Je t'envoie donc le rapport aprés selection "option 1".
J'ai remarqué qu'aprés avoir fait les manips demandées juste avant, le démarrage était beaucoup plus lent qu'avant, y-a-t'il un rapport ??
De plus, le font d'écran rouge avec "Your privacy in in danger" est revenu aprés démarrage ce matin.
Merci et Bonsoir.

[Cyrrus]

Bonsoir,

Selectionne l'option 4 de smitfraudfix pour le mettre à jour. Une fois cela fait :

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

Bonne soirée
Cyrrus

[yannickc9433]

Bonsoir,
Je pense qu'il doit y avoir un petit malentendu.
Tu me demandes maintenant de lancer smitfraudfix en mode sans echec avec option 2 pour corriger mon problème alors que ça fait plus de 10 jours que je t'ai dis que je faisais cette manip toutes les 5 heures.
J'apprécie vraiment ton aide mais j'aimerais que l'on avance un peu ou alors dis moi qu'il vaut mieux en rester là.
Bonne soirée.

[Cyrrus]

Bonsoir,

Citation:

Tu me demandes maintenant de lancer smitfraudfix en mode sans echec avec option 2

Je te demande de faire une chose avant...

Citation:

ça fait plus de 10 jours que je t'ai dis que je faisais cette manip toutes les 5 heures

Avec une version du tool non à jour. Désolé mais tu as la dernière variante en date, donc il en faut peu pour que le tool rate son coup. D'où ma demande de le mettre à jour et de le lancer, car en principe il devrait pouvoir s'occuper de ce qu'il loupait auparavant.

Citation:

j'aimerais que l'on avance un peu

Si cela ne marche pas on fera le reste à la main. Je n'ai pas pour habitude de faire tourner les gens en rond, ni de les mener en bateau et encore moins de les prendre pour des c*n.