fenêtres pub intempestives et menaces de Spywaresecure

[totor 5629]

bonjour,
depuis quelques jours j'ai des publicités qui s'ouvrent quand je surfe sur firefox 3 et régulièrement le logiciel Spywaresecure m'annonce la mort de mon pc et veuux évidemment que je l'installe pour me régler mes problèmes.
J'ai regardé sur le net et ce marchand d'illusions est répertorié nuisible cependant j'ai éssayé plusieurs anti rootkit et malheureusement le problème persiste.
si quelqu'un a une idée elle est la bien venue car ja suis par très callé en informatique
par avance merci

[DouDou9455]

Bonjour,

Alors 2 petites choses premiérement :
_Suivre ce dossier de Netoyage.
_Faire un rapport HiJackThis et poste nous ton rapport ici.

[H3bus]

la mort de mon pc

Carrément ! Savent plus quoi inventer ces pauvres concepteur de virus...

[totor 5629]

bonjour,
avant tout merci de la réponse rapide
j'ai suivi les instruction et je post le rapport hijackthis cependant je n'ai pas réussi a trouver et donc a vider le fichier temporaire cwindowsprefeth
j'ai essayé l'analyseur en ligne et a priori il y a des problèmes mais je n'ai pas trop osé y toucher.
je n en 'ai pas non plus parlé au départ car ça fonctionnait malgrès tout
mais lorsque mon pc se laisse il y a un message qui dit depuis quelques temps fichier boot. ini non valide démarrage à partir de cwindows et en tapant ms config il n'y a effectivement rien dans le boot.ini ni dans systhem.ini et seulement[Internal] dans Win.ini alors que sur un pc qui a également xp édition familiale comme moi il a plusieurs choss inscrites alors qu'il a beaucoup moins de programmes installés que moi.
Merci.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:17, on 16/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:windowsSystem32smss.exe
C:windowssystem32winlogon.exe
C:windowssystem32services.exe
C:windowssystem32lsass.exe
C:windowssystem32Ati2evxx.exe
C:windowssystem32svchost.exe
C:windowsSystem32svchost.exe
C:windowssystem32svchost.exe
C:windowssystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:Program FilesNeroNero 7InCDInCDsrv.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:Program FilesPromiseUtilityMsgAgt.exe
C:Program FilesPromiseUtilityMsgSvr.exe
C:windowsSystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
C:windowssystem32Ati2evxx.exe
C:windowssystem32SearchIndexer.exe
C:Program FilesSoftwinBitDefender10dmcon.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:WINDOWSsystem32LVCOMSX.EXE
C:Program FilesSpyware DoctorpctsTray.exe
C:documents and settingsvitorlocal settingsapplication datajfuietp.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:windowssystem32ctfmon.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesDAPDAP.EXE
D:importEClea2_0EasyClea.exe
C:windowsexplorer.exe
C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
C:Program FilesSoftwinBitDefender10vsserv.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://fr.msn.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.msn.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local;localhost
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: speed-bit Toolbar - {2ba521ac-b9b9-4433-ba45-dba2f02cba5a} - C:Program Filesspeed-bit bspe0.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll (file missing)
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: speed-bit Toolbar - {2ba521ac-b9b9-4433-ba45-dba2f02cba5a} - C:Program Filesspeed-bit bspe0.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:Program FilesEoRezoEoAdvEoRezoBHO.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:Program FilesDealiokb125Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_04inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.1.615.5858swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: speed-bit Toolbar - {2ba521ac-b9b9-4433-ba45-dba2f02cba5a} - C:Program Filesspeed-bit bspe0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:Program FilesDealiokb125Dealio.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O4 - HKLM..Run: [SDTray] "C:Program FilesSpyware DoctorSDTrayApp.exe"
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSsystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows DefenderMSASCui.exe" -hide
O4 - HKLM..Run: [WireLessKeyboard] C:Program FilesMultimedia Combo Set DriverStartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM..Run: [WireLessMouse] C:Program FilesMultimedia Combo Set DriverStartAutorun.exe MouseDrv.exe
O4 - HKLM..Run: [BDMCon] "C:Program FilesSoftwinBitDefender10dmcon.exe" /reg
O4 - HKLM..Run: [BDAgent] "C:Program FilesSoftwinBitDefender10dagent.exe"
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [ISTray] "C:Program FilesSpyware DoctorpctsTray.exe"
O4 - HKCU..Run: [jfuietp] c:documents and settingsvitorlocal settingsapplication datajfuietp.exe jfuietp
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [ctfmon.exe] C:windowssystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Desktop Search.lnk = C:Program FilesWindows Desktop SearchWindowsSearch.exe
O8 - Extra context menu item: &Clean Traces - C:Program FilesDAPPrivacy Packagedapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:Program FilesDAPdapextie.htm
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Compare Prices with &Dealio - C:Documents and SettingsvitorApplication DataDealiokb125 esDealioSearch.html
O8 - Extra context menu item: Download &all with DAP - C:Program FilesDAPdapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_04inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_04inssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:Program FilesDealiokb125Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:Program FilesDealiokb125Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:windowssystem32
wprovau.dll
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se8300.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Registe ... lashax.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:Program FilesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:PROGRA~1CrawlerToolbarctbr.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:windowssystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:Program FilesProcessGuarddcsuserprot.exe (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:Program FilesEPSONESM2eEBSVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesNeroNero 7InCDInCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
O23 - Service: NBService - Nero AG - C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - C:Program FilesFichiers communsAheadLibNMIndexingService.exe
O23 - Service: Promise RAID message agent (RAIDmAgt) - Promise Technology, Inc. - C:Program FilesPromiseUtilityMsgAgt.exe
O23 - Service: Promise RAID message server (RAIDmSvr) - Promise Technology, Inc. - C:Program FilesPromiseUtilityMsgSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:Program FilesSpyware DoctorpctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:Program FilesSpyware DoctorpctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:Program FilesSoftwinBitDefender10vsserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:Program FilesRealVNCVNC4WinVNC4.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

--
End of file - 12973 bytes

[H3bus]

je n en 'ai pas non plus parlé au départ car ça fonctionnait malgrès tout

Signe d'infection, suis le dossier nettoyage à la lettre, sinon on aura du mal à t'aider.

Selon ton rapport, tu as une multi infection, désinstalles tout ce qui n'est pas utile, et c'est parti pour le grand ménage de printemps !

Bon courage, et n'hésite pas à poser des questions ici si tu ne sais pas quoi faire, ou si tu butes sur quelque chose.

En attendant, commences par fixer ces lignes :

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Registe ... lashax.cab

O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:Program FilesDealiokb125Dealio.dll

O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:Program FilesDealiokb125Dealio.dll

O4 - HKCU..Run: [jfuietp] c:documents and settingsvitorlocal settingsapplication datajfuietp.exe jfuietp

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll (file missing)

O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - (no file)

[r@in | b0w]

Bonjour.

1_ Via Ajout/suppression de programmes dans le Panneau de configuration, tu désinstalles Dealio & EoRezo.

Tu supprimes ensuite les dossiers C:Program FilesEoRezo et C:Program FilesDealio.

2_ Via HiJackThis, tu supprimes la ligne:

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:Program FilesEoRezoEoAdvEoRezoBHO.dll

3_ Je pense que jfuietp est un spyware.

Tu vas sur le site http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes ensuite le fichier c:documents and settingsvitorlocal settingsapplication datajfuietp.exe puis tu cliques sur Ouvrir.

Tu lances l'analyse en ligne en cliquant sur Envoyer le fichier puis tu nous copies-colles le rapport d'analyse.

On pourra ensuite désinfecter correctement.

Ps: pour arriver à trouver ce fichier, il faut activer la vue des fichiers & dossiers cachés.

Tu double-cliques sur Poste de travail puis tu vas sur Outils et Options des dossiers.

Tu vas sur l'onglet Affichage et tu cliques sur la ligne Afficher les fichiers et dossiers cachés puis tu valides en cliquant sur Appliquer puis Ok.



4_ De plus, tu vas utiliser SmitFraudix dès à présent.

_ Tu télécharges SmitFraudix.

Double-cliques sur l'icône SmitFraudix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitFraudix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

[totor 5629]

Bonjour,
Merci à DouDou9455 et les autres membres de l'aide apportée.
Graçe au dossier nettoyage j'ai à priori réussi à régler les problèmes des fenêtres intempestives et me suis à priori débarrassé du harcellemment de spywaresecure.
Bien que spybot ne trouvait rien adaware 2008 à trouvé des choses.
J'ai fixé les lignes avec hijackthis comme suggéré et pour l'instant ça à l'air de marcher.
J'ai également réussi à trouver la solution à mon problème de fichier boot.ini sur un autre site, par contre mon fichier systhem.ini est toujours vide et le fichier win.ini n'affiche toujours que [internal].
C'est grave docteurs ?
J'ai aussi enfin réussi à installer le service pack 3 en désactivant mon antivirus bit defender comme conseillé par microsoft par contre depuis cette installation j'ai presque perdu 1 Go et je sais pas où retrouver la sauvegarde que windows a fait et qui doit être la cause de cette perte.
J'ai essayé regcleaner et easy cleaner mais ça n'a rien donné.
Si quelqu'un à une idée elle est la bien venue.
Encore merci

[r@in | b0w]

Bonjour.

L'infection est toujours présente si tu n'as pas fait ceci:

1_ Via Ajout/suppression de programmes dans le Panneau de configuration, tu désinstalles Dealio & EoRezo.

Tu supprimes ensuite les dossiers C:Program FilesEoRezo et C:Program FilesDealio.

2_ Via HiJackThis, tu supprimes la ligne:

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:Program FilesEoRezoEoAdvEoRezoBHO.dll

3_ Je pense que jfuietp est un spyware.

Tu vas sur le site http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes ensuite le fichier c:documents and settingsvitorlocal settingsapplication datajfuietp.exe puis tu cliques sur Ouvrir.

Tu lances l'analyse en ligne en cliquant sur Envoyer le fichier puis tu nous copies-colles le rapport d'analyse.

On pourra ensuite désinfecter correctement.

Ps: pour arriver à trouver ce fichier, il faut activer la vue des fichiers & dossiers cachés.

Tu double-cliques sur Poste de travail puis tu vas sur Outils et Options des dossiers.

Tu vas sur l'onglet Affichage et tu cliques sur la ligne Afficher les fichiers et dossiers cachés puis tu valides en cliquant sur Appliquer puis Ok.



4_ De plus, tu vas utiliser SmitFraudix dès à présent.

_ Tu télécharges SmitFraudix.

Double-cliques sur l'icône SmitFraudix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitFraudix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

Tu nous postes tous les rapports demandés puis on te dira si tout est réellement propre ou si ce n'est qu'en surface que tout va bien.

[totor 5629]

Re bonjour,
J'ai oublié de vous signaller que je n'avait plus de fichier c/windows/Prefeth qu'il fallait a priori vidé mais je ne l'ai jamais trouvé.
Ou s'est il envollé encore celui là et mon pc peut il s'en passer.
Encore merci de el'aide apportée.

[r@in | b0w]

A croire que je parle dans le vide.

Tant pis.

J'ai oublié de vous signaller que je n'avait plus de fichier c/windows/Prefeth

C'est Prefetch.

[totor 5629]

re bonsoir,

voila le rapport :

SmitFraudFix v2.329

Rapport fait à 19:45:00,81, 19/07/2008
Executé à partir de D:importSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesLavasoftAd-Awareaawservice.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:Program FilesNeroNero 7InCDInCDsrv.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:Program FilesPromiseUtilityMsgAgt.exe
C:Program FilesPromiseUtilityMsgSvr.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
C:WINDOWSsystem32SearchIndexer.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesSoftwinBitDefender10dmcon.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:WINDOWSsystem32LVCOMSX.EXE
C:Program FilesSpyware DoctorpctsTray.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Program FilesWindows Media Playerwmplayer.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program Fileseb-Utilityeb-Utility.exe
C:Program FilesMozilla Thunderbird hunderbird.exe
C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
C:Program FilesSoftwinBitDefender10vsserv.exe
C:WINDOWSsystem32 undll32.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesDAPDAP.EXE
C:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and Settingsvitor


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsvitorApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1vitorFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"="sockspy.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Connexion TV/vidéo Microsoft
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

Description: Connexion TV/vidéo Microsoft
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

Description: D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

Description: D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

Description: D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLMSYSTEMCCSServicesTcpip..{109DE804-771D-42AD-8AE0-E0CFA48F3E82}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpip..{5D61AB9D-1C4D-4460-BD5A-D53FA9C3CE92}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpip..{622D7014-453A-4D9F-BE1C-A779A4FB9F62}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpip..{E4436A4B-B4EF-4730-AEA7-7C7991875137}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpip..{FA25B6C0-B0BF-4B2C-AB80-07E8DA28A26C}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{109DE804-771D-42AD-8AE0-E0CFA48F3E82}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{5D61AB9D-1C4D-4460-BD5A-D53FA9C3CE92}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{622D7014-453A-4D9F-BE1C-A779A4FB9F62}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{E4436A4B-B4EF-4730-AEA7-7C7991875137}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{FA25B6C0-B0BF-4B2C-AB80-07E8DA28A26C}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpip..{109DE804-771D-42AD-8AE0-E0CFA48F3E82}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpip..{5D61AB9D-1C4D-4460-BD5A-D53FA9C3CE92}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpip..{622D7014-453A-4D9F-BE1C-A779A4FB9F62}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpip..{E4436A4B-B4EF-4730-AEA7-7C7991875137}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpip..{FA25B6C0-B0BF-4B2C-AB80-07E8DA28A26C}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{109DE804-771D-42AD-8AE0-E0CFA48F3E82}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{5D61AB9D-1C4D-4460-BD5A-D53FA9C3CE92}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{622D7014-453A-4D9F-BE1C-A779A4FB9F62}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{E4436A4B-B4EF-4730-AEA7-7C7991875137}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{FA25B6C0-B0BF-4B2C-AB80-07E8DA28A26C}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ca veut dire quoi en clair
Merci

[r@in | b0w]

Re.

En clair?

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

Tu as au moins un spyware.
Mais pas besoin que tu comprennes ces lignes.

Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu te logges ensuite sur ta session puis tu lances SmitFraudix.

Tu appuis sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

De plus, tu as fait ceci:

1_ Via Ajout/suppression de programmes dans le Panneau de configuration, tu désinstalles Dealio & EoRezo.

Tu supprimes ensuite les dossiers C:Program FilesEoRezo et C:Program FilesDealio.

3_ Je pense que jfuietp est un spyware.

Tu vas sur le site http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes ensuite le fichier c:documents and settingsvitorlocal settingsapplication datajfuietp.exe puis tu cliques sur Ouvrir.

Tu lances l'analyse en ligne en cliquant sur Envoyer le fichier puis tu nous copies-colles le rapport d'analyse.

On pourra ensuite désinfecter correctement.

Ps: pour arriver à trouver ce fichier, il faut activer la vue des fichiers & dossiers cachés.

Tu double-cliques sur Poste de travail puis tu vas sur Outils et Options des dossiers.

Tu vas sur l'onglet Affichage et tu cliques sur la ligne Afficher les fichiers et dossiers cachés puis tu valides en cliquant sur Appliquer puis Ok.

Si tu n'as pas fait ces deux autres manipulations, fais-les puis postes le rapport de VirusTotal.

[totor 5629]

re,
je comprend rien avec l'outil de recherche windows il me trouve le fichier c:documents and settingsvitorlocal settingsapplication datajfuietp.exe
et quand je veux faire une recherche manuel je ne le voit pas
En plus je suis presque sur d'avoir fixé ca avec hijackthis
bon vais quand meme aller manger
merci encore et bon appétit si t'est pas encore a table
je reverrai ca tout a l'heure
j'ai pas encore fait le redemarrage en mode sans echec
merci

[r@in | b0w]

Le redémarrage en Mode sans échec servira à faire les suppressions avec SmitFraudix car le précédent rapport n'est qu'un rapport d'analyse.

Pour le fichier, il faut activer l'affichage des fichiers et dossiers cachés, tu l'as fait?

[totor 5629]

re,
j'avais pas les yeux en face des trous tout a l'heure voila le rapport


Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier jfuietp.exe reçu le 2008.07.19 20:33:37 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 6/33 (18.19%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.1.11 2008.07.19 -
Authentium 5.1.0.4 2008.07.19 -
Avast 4.8.1195.0 2008.07.19 Win32:ScarMorph
AVG 8.0.0.130 2008.07.19 Win32/Heur
BitDefender 7.2 2008.07.19 -
CAT-QuickHeal 9.50 2008.07.18 -
ClamAV 0.93.1 2008.07.19 -
DrWeb 4.44.0.09170 2008.07.19 Trojan.Packed.562
eSafe 7.0.17.0 2008.07.17 -
eTrust-Vet 31.6.5966 2008.07.18 -
Ewido 4.0 2008.07.19 -
F-Prot 4.4.4.56 2008.07.18 -
F-Secure 7.60.13501.0 2008.07.19 -
Fortinet 3.14.0.0 2008.07.19 -
GData 2.0.7306.1023 2008.07.19 Win32:ScarMorph
Ikarus T3.1.1.34.0 2008.07.19 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.07.19 -
McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.19 Trojan:Win32/Skintrim.B
NOD32v2 3281 2008.07.18 -
Norman 5.80.02 2008.07.18 -
Panda 9.0.0.4 2008.07.19 -
Prevx1 V2 2008.07.19 -
Rising 20.53.52.00 2008.07.19 -
Sophos 4.31.0 2008.07.19 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.19 -
TheHacker 6.2.96.384 2008.07.19 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.1 2008.07.19 -
VirusBuster 4.5.11.0 2008.07.19 -
Webwasher-Gateway 6.6.2 2008.07.19 -
Information additionnelle
File size: 352256 bytes
MD5...: d9ceac033fb8b8a8b4debe07e5bf18ea
SHA1..: 7fa234e092f62e20ea2a7ad7b5ad8ace7fd24fc5
SHA256: 9b37a723c12b6b4dd38016d4919100063c49e64e2bdffbd911746a8c54e17660
SHA512: 02d8b99f26e16c57445e8b91eb36d3821915c321a8396f0cce98ae158c2aedec
26ee437fdbbe40c26130a04cfe4a084eca7408d2e3eb57486e29b567a760f67c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401130
timedatestamp.....: 0x443ebb01 (Thu Apr 13 20:56:33 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x526db 0x53000 6.98 946914747d6ba10b5376a1a0622906e0
.rdata 0x54000 0xd38 0x1000 4.84 999fd20a3ef07fd3de6d9773b9c38859
.data 0x55000 0xeb0 0x1000 3.94 ddeb3a3b22ae86e1f12afdc3a73ff1b0

( 7 imports )
> KERNEL32.dll: CancelIo, GetWindowsDirectoryA, SetTimeZoneInformation, GetPrivateProfileStringA, EnumSystemCodePagesW, GlobalAddAtomA, QueryDosDeviceW, EnumResourceLanguagesW, lstrcmpA, _hread, VirtualLock, GetThreadContext, SetCurrentDirectoryA, VirtualQueryEx, SearchPathW, CopyFileExW, QueryDosDeviceA, FlushConsoleInputBuffer, FileTimeToLocalFileTime, GetShortPathNameA, GetCurrentProcess, GetUserDefaultLCID, GetBinaryTypeA, PeekConsoleInputW, SetMailslotInfo, SetConsoleOutputCP, FatalAppExitA, WriteFile, TlsGetValue, GlobalAddAtomW, WriteConsoleOutputW, FlushFileBuffers, GetSystemDirectoryW, FindNextChangeNotification, GlobalFree, FindFirstFileA, CompareStringA, VirtualFree, lstrcmpiW, EnumTimeFormatsW, WritePrivateProfileStringW, RemoveDirectoryW, MoveFileW, SetThreadLocale, DuplicateHandle, ConnectNamedPipe, UnhandledExceptionFilter, GetSystemTime, SetVolumeLabelA, SwitchToFiber, FindResourceExA, GetProfileStringA, GetTapeParameters, GlobalReAlloc, FillConsoleOutputCharacterA, lstrcpyA, WritePrivateProfileStringA, EnumSystemCodePagesA, IsValidLocale, GetTickCount, VirtualProtect, GetVersionExA, GetCommandLineA, lstrcatW, GetThreadPriority, EraseTape, LeaveCriticalSection, GetFileAttributesExA, FindFirstFileW, GetCurrentDirectoryW, CreateWaitableTimerA, InitializeCriticalSection, LocalSize, ExitProcess
> USER32.dll: CreateCaret, CheckRadioButton, GetKeyNameTextW, CallWindowProcW, GetWindowContextHelpId, EndMenu, IsChild, GetThreadDesktop, SetProcessDefaultLayout, GetScrollRange, PeekMessageW, GetDlgItemTextW, LoadStringW, SetWindowRgn, DefMDIChildProcA, CloseDesktop, TrackPopupMenuEx, CopyIcon, InvalidateRgn, ChangeMenuA, PtInRect, DestroyIcon, TabbedTextOutA, GetSubMenu, GetKeyboardLayoutNameA, GetMenuStringA
> GDI32.dll: SetPolyFillMode, EnumEnhMetaFile, SetPixelFormat, GetTextCharsetInfo
> ADVAPI32.dll: LookupPrivilegeNameA, AccessCheckAndAuditAlarmA, SetSecurityInfo
> ole32.dll: CoInitializeEx, OleRegGetUserType, OleGetIconOfClass, CoFreeUnusedLibraries, CoCreateInstanceEx, IIDFromString
> OLEAUT32.dll: -, -
> COMCTL32.dll: ImageList_Merge

( 0 exports )



ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Merci