Forums d'entraide informatique - Les forums de PCW

Forums d'entraide informatique - Les forums de PCW > Forum Informatique > Sécurité Informatique > virus w32myzor.fk@yf (Résolu)
Version complète : virus w32myzor.fk@yf (Résolu)
Vous consultez actuellement la version basse qualité d'un document. Voir la version complète avec le bon formatage.
Pages : 1 2 3

Bilifly

20-08-2006, 15:53 PM
Ok, je vois que tu es sûr de toi

Moi aussi mon Windows est copié, mais j'ai quand même le SP2 :mrgreen:

Pour virer le virus :

Désactives la restauration du système en faisant :

Clic droit sur Poste de travail >> Propriétés >> Onglet "Restauration du système" >> tu coches la case "désactiver la restauration du système" >> "Appliquer" >> tu confirmes par "OUI" >> OK
Cette désactivation restera effective durant toute la durée de l'analyse jusqu'a ma demande de réactivation

*** Ensuite ***

Redémarres en mode sans echec (en tapotant F8 au démarrage) choisir "Mode sans echec"

Ne t'inquiète pas pour l'environnement de ton bureau, il est tout noir et tout moche, c'est normal

Tu passes ton antivirus (Avast) :

Démarrer
Programmes
Avast! Antivirus >> Avast! Antivirus

Tu clic sur "Sélection des dossiers" situé en bas à droite

Image: avast1mm7.jpg

Coches la case "Poste de travail"

Valides OK

Et tu clic sur ► :

Image: avast2ef9.jpg

Et tu le laisses scanner, sa prend un certain temps
Tu ne laisses rien en quarantaine

En mode sans echec, tu n'auras pas de connexion internet, donc note bien ce que tu as à faire

Bon courage

labanette

20-08-2006, 15:57 PM
je n'ai pas l'onglet restauration dans la propriété poste de travail

Bilifly

20-08-2006, 15:59 PM
Tu es sûr ?

Image: restokp6.jpg

labanette

20-08-2006, 16:04 PM
et certaine

Général
nom de l'ordinateur
matériel
avancé
utilisation a distance

Bilifly

20-08-2006, 16:06 PM
Citation :Pour désactiver la Restauration du système, vous devez ouvrir une session en tant qu'Administrateur sous Windows XP. Si vous n'êtes pas connecté comme Administrateur, vous ne verrez pas l'onglet Restauration du système.


Tu n'es pas administrateur de ta session

Donc, tu redémarres ton pc maintenant en mode sans echec, et tu te met dans la session "Administrateur"

Et tu désactives la restauration du système

Et ensuite, tu scan avec avast

labanette

21-08-2006, 15:29 PM
salut Bilifly

J'ai réussi a faire mon rapport demandé, le voici q'en penses-tu ???

SmitFraudFix v2.81

Rapport fait à 16:46:59,09, 21/08/2006
Executé à partir de C:\Documents and Settings\Nathalie_2\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ismon.exe PRESENT !
C:\WINDOWS\system32\isnotify.exe PRESENT !
C:\WINDOWS\system32\issearch.exe PRESENT !
C:\WINDOWS\system32\ixt?.dll PRESENT !
C:\WINDOWS\system32\ixt??.dll PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
C:\WINDOWS\system32\components\flx?.dll PRESENT !
C:\WINDOWS\system32\components\flx??.dll PRESENT !
C:\WINDOWS\system32\components\flx???.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nathalie_2\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\NATHAL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Safety Bar\ PRESENT !
C:\Program Files\SpyQuake2.com\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTask​Scheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

a plus

Bilifly

21-08-2006, 16:07 PM
Bonsoir Labanette

Euh non, ce n'est pas ce que j'ai demandé

Suis simplement les manips que j'ai dit précédemment

labanette

22-08-2006, 09:40 AM
Salut

J'ai effectué l'opération demandée... système restauration, mode sans echec, scan avec avast... Plus de virus normalement

maintenant, je vous savoir comment faire pour me débarrasser de la page d'acceuil internet http://www.sysnetsecurity.net qui se met automatiquement et que je n'arrive pas à supprimer

merci d'avance

Bilifly

22-08-2006, 10:12 AM
Bonjour Labanette

Très bien, signale moi si tu reçois encore un virus

Pour la page d'accueil, seul hijackthis pourra te le modifier

Donc :
    :arrow: Télécharges Hijackthis :arrow: Image: hijackthisbig1pu.gif (lien sur l'image)

    :arrow: Télécharges cette vidéo >>ICI<< (à lire avec WMP)

    :arrow: Tu coupes ta connexion internet (en débranchant le câble Ethernet ou USB ou clé Wi-Fi), tu fermes tous les programmes en cours

    :arrow: Lance la vidéo pour créer un log, et post le rapport dans ta prochaine réponse


Si tu n'arrives pas à lancer la vidéo :

Tu coupes ta connexin internet
Tu fermes tous les programmes en cours
Tu crées un nouveau dossier dans ton bureau
Tu places Hijackthis.exe (l'icone avec la bombe) dans le nouveau dossier, en faisant un couper, et tu le colles dans le nouveau dossier
Tu lances Hijackthis
Tu clic sur Do a system scan and save a logfile"
Tu copies et tu colles ici

labanette

24-08-2006, 04:59 AM
SALUT bILIFLY

Voici ce que tu m'as demandé, je n'ai pas pu lirela vidéo donc j'ai pris le deuxième solution a+

Logfile of HijackThis v1.99.1
Scan saved at 07:55:04, on 24/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nathalie_2\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\&amp;#0065;ctiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PCDAS] C:\Program Files\Defenza\pcd-as.exe /quick
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msg...7.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...7.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Pages : 1 2 3
Forums d'entraide informatique - Les forums de PCW > Forum Informatique > Sécurité Informatique > virus w32myzor.fk@yf (Résolu)
URLs de référence