A l'aide je suis infecté

[Cyrrus]

Bonsoir magmatic_rock,

Spyaxefix.exe n'est plus disponible au telechargement, la procedure a donc changé. Refais un Ewidoet reposte moi un nouveau rapport Hijackthis ainsi que le rapport d'Ewido.

Bonne soirée
Cyrrus
-----

[invitef28c49d8]

Salut, alors voilà mon rapport ewido qui vient de finir, ensuite je vais lancer avast pendant que je vais manger puis je ferais hijacthis quand avast sera fini.
Je viens de voir d'autres post qui sont infecté comme moi!


---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 19:15:12, 16/12/2005
+ Somme de contrôle: C29DB886

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{7 24510C3-F3C8-4FB7-879A-D99F29008A2F} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objecta\{724510c3-f3c8-4fb7-879a-d99f29008a2f} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objects\{724510c3-f3c8-4fb7-879a-d99f29008a2f} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKU\S-1-5-21-2445292246-487662916-4179481935-1007\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{72 4510C3-F3C8-4FB7-879A-D99F29008A2F} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
[712] C:\WINDOWS\system32\ld83FC.tmp -> Downloader.Zlob.bz : Erreur durant le nettoyage
C:\Documents and Settings\JOJO\Cookies\jojo@atd mt[1].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\JOJO\Cookies\jojo@dou bleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\JOJO\Cookies\jojo@tra dedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\JOJO\Cookies\jojo@www .smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Program Files\SpyAxe\SpyAxe.exe -> Adware.Spyaxe : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP395\A0066263.t lb -> Trojan.Puper.bp : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP395\A0066267.e xe -> Spyware.AlexaBar : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP395\A0066268.e xe -> Spyware.AlexaBar : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP395\A0066669.t lb -> Trojan.Puper.bp : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP396\A0066681.t lb -> Downloader.Zlob.cf : Nettoyer et sauvegarder
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP397\A0066693.t lb -> Downloader.Zlob.cf : Nettoyer et sauvegarder
C:\WINDOWS\system32\msvol.tlb -> Downloader.Zlob.cf : Nettoyer et sauvegarder


::Fin du rapport

Merci encore

[Cyrrus]

Je viens de voir d'autres post qui sont infecté comme moi!

Si tu savais le nombre de personnes infectés dans le monde...comparativement au nombre de personne qui aide à desinfecter....

Ok pour Ewido, Spyaxe est toujours là, on le zigouillera demain.

Bonne soirée
Cyrrus

[invitef28c49d8]

Voilà mon rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:11:23, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\PCSuite\S ervices\SERVIC~1.EXE
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 Mon Edition Spéciale\CalCheck.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPA PI\MPAPI3s.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ym sgr_tray.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\net1.exe
C:\WINDOWS\SYSTEM32\net1.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JOJO\LOCALS~1\Temp \Rar$EX00.676\HijackThis.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

Merci

[invitef28c49d8]

Bonjour, voilà un rapport ewido de ce matin:

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:45:46, 17/12/2005
+ Somme de contrôle: 21E6F663

+ Résultats du scan:

C:\Documents and Settings\JOJO\Cookies\jojo@as1 .falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\JOJO\Cookies\jojo@dou bleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\JOJO\Cookies\jojo@www .smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder


::Fin du rapport

et voici le rapport hijackthis que j'ai effectué après le premier:

Logfile of HijackThis v1.99.1
Scan saved at 11:49:02, on 17/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\wuauclt.ex e
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JOJO\LOCALS~1\Temp \Rar$EX00.474\HijackThis.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe


Merci pour votre aide.

[Cyrrus]

Bonjour magmatic rock,

Es tu sur d'avoir mis la totalité du log hijackthis ? Il y a vraiment peu de lignes...
As tu encore des dysfocntionnements ?

[igor51]

bonjour,
je laisse les pro s'occuper des virus mais pour HJT: le mettre dans un dossier à lui sinon tu ne pourras profiter de ses sauvegardes: >>C:\DOCUME~1\JOJO\LOCALS~1\Te mp \Rar$EX00.474\HijackThis.exe

bonne journée

[invitef28c49d8]

Bonjour magmatic rock,

Es tu sur d'avoir mis la totalité du log hijackthis ? Il y a vraiment peu de lignes...
As tu encore des dysfocntionnements ?

Beh depuis deux heures non j'ai plus rien et surtout avant quand je me connecté à internet ça m'amennait direct à une page me disant que j'ai un virus "sinnaka ...." et là je tombe sur la page msn que j'ai toujours eut!

Cela veut-il dire que je n'ai plus rien? Pourtant j'ai juste refais le scan complet de ewido et ensuite j'ai été dans quarantaine puis suppression définitive car à chaque fois je faisais juste des scans mais je supprimais pas car je savais pas si je devais ou non mais là je me suis dit bon aller je vire tout!

[invitef28c49d8]

bonjour,
je laisse les pro s'occuper des virus mais pour HJT: le mettre dans un dossier à lui sinon tu ne pourras profiter de ses sauvegardes: >>C:\DOCUME~1\JOJO\LOCALS~1\Te mp \Rar$EX00.474\HijackThis.exe

bonne journée

Comment ça je ne pourrais pas profiter des sauvegardes? Je n'ai pas compris?

[Cyrrus]

Bonjour magmatic,

eh depuis deux heures non j'ai plus rien et surtout avant quand je me connecté à internet ça m'amennait direct à une page me disant que j'ai un virus "sinnaka ...." et là je tombe sur la page msn que j'ai toujours eut!

Si le rappor est complet, alors il est propre. Et vu ce que tu me dit, oui tu est desinfecté.

Comment ça je ne pourrais pas profiter des sauvegardes? Je n'ai pas compris?

Lorsque tu fix avec Hijackthis, celui ci creer des sauvegardes de ce qu'il a fixé, pour que si malencontresement tu fix quelques chose de légitimes ,tu puisse le restaurer. Si tu mets Hijackthis dans les Temp, il crée des sauvegarde dans le Temp, et celle ci ont de très grande chance d'être supprimé, te privant d'une possible restauration. Rassure toi, tu n'en auras pas besoin ici à priori.

J'aimerais te donner quelques conseils pour t'empecher de rechoper des bestioles...je te post ca de suit

Bonne journée
Cyrrus

[Cyrrus]

A présent, quelques conseils de sécurité :

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotid iennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)
- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)
- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001
http://gerard.melone.free.fr/IT/IT-AM0.html

Tu dois également installer les outils suivants:

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628


Si tu veux toujours utiliser IE! :

-=> IE-SPYADAjoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)
Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:
les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )
https://netfiles.uiuc.edu/ehowes/www...ce.htm#IESPYAD



-=> Un vrai pare-feu (pas le joujou offert avec XP)

-Kerio
-Zone Alarm
-Sygate Personal Firewall Free

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?ac...=0#entry487252


-=> SpywareBlaster:

http://www.javacoolsoftware.com/downloads.html
Son tuto:
http://www.ordi-netfr.org/tutorialspywareblaster.html


-=> Ad-awareSE

http://www.ordi-netfr.com/adawarese.html
http://www.lavasoft.de/support/download/#free
Son tuto
http://home.tiscali.be/schouppeguy/a...se/adawase.htm


-=> SpyBot-Search & Destroy

http://spybot.safer-networking.de/fr...oad/index.html
Son tuto
http://assiste.free.fr/p/frameset/07...ch_destroy.php


-=> a² free (anti-trojans)

- Téléchargement : http://www.emsisoft.net/fr/software/free/
Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel!

-=> ZebProtect

http://www.zebulon.fr/articles/zebprotect.php
http://telechargement.zebulon.fr/123.html

Si tu as des questions, n'hésite pas !

[invitef28c49d8]

Si j'ai des questions?
j'ai presque rien compris!
Je t'ai dis je ne comprends rien en ordi!
Mais je relire, télécharger et faire ce qui est à mon niveau.
Mais je n'ai pas d'antivirus ni de pare feu!! Les seules choses que j'ai là sont: spyboot (mais je n'en vois pas son itulité), ewido et avast. C'est tout!

Bon sinon, je voulais très sincérèment dire merci à tous ceux qui m'ont aidé et surtout un grand MERCI à toi Cyrrus pour m'avoir consacrer tant de temps à t'occuper de mon problème! Si jamais un jour je peux vous aider pour quoi que soit n'hésitez pas à m'envoyer un mp mais question info je suis nul

MERCI

[invitef28c49d8]

Je viens de télécharger mozilla-europe firefox mais quand je veux l'ouvrir ça m'emmène sur une page web donc ça sert à quoi en fait?

[Cyrrus]

Re,
Ok lol, je vais t'aider la dessus. Deja on va te mettre le minimum : un antivirus, un parefeu, firefox sécurisé, et spywareblaster.

1/ Antivirus :

Je ne vais pas rentrer dans le débat du payant : Antivir est un antivirus gratuit et performant. Tu en trouveras d'autre aussi performant bien sur...
Pour l'installer, c'est tres simple :
Telecharge le : http://www.avup.de/personal/en/avwinsfx.exe

Tu as un tuto pour t'aider qui t'expliquera tous :

http://speedweb1.free.fr/frames2.php?page=tuto5

2/ Firewall
C'est essentiel ! Il y a la aussi des tonnes de firewall divers. Pour ne pas t'embeter, je te propose Zone alarm qui est gratuit, protege bien, et est tres simple d'utilisation :

Telechargement : http://download.zonelabs.com/bin/fre...737_000_fr.exe

Tutorial : http://forum.telecharger.01net.com/m...essages-1.html

3 Passer à Firefox :
Installe Firefox qui est plus sécurisé qu'IE. Neanmoins, garde Internet Explorer pour les mises à jour.
Telechargement :
http://download.mozilla.org/?lang=fr...fox-1.5&os=win

Tutoriel de securisation : http://forum.zebulon.fr/index.php?showtopic=69628

Enfin pense à mettre à jour regulièrement Windows, c'est tres important !

[Skippy le Grand Gourou]

Ben si il a déjà Avast! il a pas besoin d'Antivir, si les deux veulent se mettre en résident ça risque de créer des conflits, non ?

[invitef28c49d8]

D'accord j'ai compris, Mozilla c'est pour aller sur internet en toute sécurité mais par contre il faut toujours taper le site sur lequel on veut aller! Avec ma page d'acceuil je clique sur favori et choisi mon site que j'ai enregistré, est-ce possible de faire pareil avec mozilla ou faut-il toujours taper l'adresse?

[Skippy le Grand Gourou]

Tu vas sur la page que tu veux comme page d'accueil, ensuite tu fais Edition (ou Outils, je sais plus si c'est pareil sous Windows et sous Linux et là je suis sous Linux)>Préférences>G énéral et là tu clique sur "Page courante", et désormais ta page de démarrage sera celle-là.

EDIT : Et pour récupérer les favoris d'IE : Marque-pages>Gérer les marqe-pages>fichier>Importer.

[Cyrrus]

Ben si il a déjà Avast! il a pas besoin d'Antivir, si les deux veulent se mettre en résident ça risque de créer des conflits, non ?

Exact, j'avais competement oublié, y me suis fier à son message le plus récents :

Mais je n'ai pas d'antivirus ni de pare feu!!

[invitec0eab7b8]

Merci merci et merci...
Grace a vos echanges, vous m'avez fait gagner pas mal de temps...

Certes j'avais deja essayer pas mal d'antyspyware, mais quand j'ai vu que Avast etait celui qui marchait !!! je me suis jeté dessus ...
Apparement ca a l'air de marcher

Cela ne m'etonne pas, car c'est le seul a faire un scan avant le boot de XP et donc il doit forcement s'affranchir de tous les process ou autres dll qui sont actives ...

Et pourtant j'ai Symantec pro avec les dernier updates

Salut les jeunes....

Marc

[invitec3b9135a]

voilà qui ressemble très fort à quelque chose que j'ai eu il n'y a pas longtemps, que Norton ne détectais pas, et dont j'ai eu un mal fou à me débarasser. Je crois que je l'avais eu en téléchargeant un soi-disant codec vidéo, vcodec, ou quelque chose comme ça.
J'ai fini par m'en débarasser en utilisant SmitfraudFix . Pour ça:
-télécharge SmitfraudFix.
-lances le fichier SmitfraudFix.cmd
-tu choisis l'option 1 (recherche) (tu tapes 1+entrée)
-il t'affiche un fichier texte avec écrit ce qu'il a vérifié et trouvé. Tu le fermes.
-tu redémares en mode sans échec (appuie sur F8 pendant le démarage du pc, avant qu'il commence à lancer windows, jusqu'a ce qu'il t'affiche un écran ou tu peux choisir plusieurs modes de démarage, le sans échec en fait partie.)
-tu relances SmitfraudFix.cmd, et cette fois ci, tu choisis l'option2, nettoyage. Et c'est bon, ya plus rien.
-tu redémare normalement, et tu profites de ton pc tout propre!

Merci pour cet exellent tuyau
C'est simple et diablement efficace.

[Cyrrus]

Euh...tobago smitfraudfix enlève les fichiers inhérents à smitfraud et par conséquent les symptomes les plus marquants de l'infection. Cela ne veut pas dire qu'il nettoie ton pc entièrement...

Peux tu au moins creer un nouveau sujet et y poster un log hijackthis que l'on vérifie que rien n'a résisté/n'est encore là...

Bonne soirée
Cyrrus