Votre question

"your privacy is in danger" + éradication Trojan/Adware

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Novembre 2007 17:44:27

Bonjour à tous,

Hier voulant aider une amie je lui ait malencontreusement fait chopper un virus (ça commence mal :s). Comme elle n'y connait pas grand chose en informatique je me suis moi même auto-infecté afin de trouver comment l'éradiquer. Vous devez vous dire que je suis suicidaire mais là elle m'en veut vraiment et je veut me rattraper. Et c'est là que j'ai besoin de vos lumières car en effet il est plus coriace que prévu et je ne sais pas analyser les rapports HiJackThis.

Un wallpaper rouge avec un biohazard avec écris "YOUR PRIVACY IS IN DANGER" s'est mis et je ne peut l'enlever, de plus je ne peut plus ouvrir le gestionnaire des tâches ("le gestionnaire des tâches a été désactivé par votre administrateur"). De temps à autre des fenêtres me proposent de télécharger des antivirus, enfin les attrapes nigauds en fait.

Mon antivirus est Avast, il m'a juste mis une alerte (nom du virus du genre Win32:Adware-gen[Adw] ou [Trj]...etc, un adware et un trojan quoi), j'ai fais supprimer mais bon je sais que ça sers à rien. Depuis j'ai plins d'alertes semblables. J'ai donc suivi les recommandation habituelles : scan Ewido, Ccleaner.
Ewido trouve rien d'autre que des cookies, et ccleaner rien de spécial non plus.

Que faire ? Vous poster un rapport Hijackthis ? Autre ? Le virus a l'air assez connu puisque j'ai trouvé d'autres personnes ayant eu le même fond d'écran, mais les solutions varient d'une infection à l'autre donc... je préfère créer mon topic.

J'ai assez souvent dépanné des amis infectés par des chevaux de Troie avec toutes les démarches longues et chiantes, mais là quelque chose me dis que ça va être plus chaud que d'habitude, d'autant plus que comme je l'ai dis le but est d'aider une amie qui m'en veut...beaucoup :/  ! Si c'était que pour moi ce serait réinstallation windows pure et simple vu que je l'ait fait récemment donc j'ai rien à perdre (donnéessur DD externe), mais elle, elle a vraiment un max de données importantes à garder intactes, voyez donc ma situation :( .


Merci d'avance pour vos réponses, je reste dispo... ;) 

edit : d'après les alertes avast les fichiers infectés sont dans le dossier Temp mais il est vide après le passage de Ccleaner :/ 

Autres pages sur : your privacy danger eradication trojan adware

27 Novembre 2007 18:55:14

bonjour

rock'n'roll ta façon de faire :lol: 

~Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

~Dezippe la totalité de l'archive SmitfraudFix.zip
Recherche:
~Double clique sur SmitfraudFix.cmd
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
27 Novembre 2007 19:01:10

Sham_Rock a dit :
bonjour

rock'n'roll ta façon de faire :lol: 

Comme tu dis, mais c'est une très (très) bonne amie si tu vois ce que je veut dire...

En tout cas merci de ton aide c'est vraiment sympa !

Le rapport :

SmitFraudFix v2.256

Rapport fait à 18:59:55,95, 27/11/2007
Executé à partir de D:\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\program files\steam\steam.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\hdtip.dll PRESENT !
C:\WINDOWS\monhop.exe PRESENT !
C:\WINDOWS\pmkret.dll PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
C:\WINDOWS\werbet???.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mackxs


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mackxs\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mackxs\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\RichVideoCodec\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 81.253.149.9
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=81.253.149.9 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=81.253.149.9 80.10.246.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 80.10.246.132


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Contenus similaires
27 Novembre 2007 20:27:59

bien

1

~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
http://www.malekal.com/modesansechec.php

~Double clique sur SmitfraudFix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport.

2

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
5 Février 2008 14:55:57

j'ai le même problème. Sham Rock peux tu m'aider????
voici le rapport de SmitfraudFix
SmitFraudFix v2.281

Rapport fait à 14:48:45,89, 05/02/2008
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Bandoo\Bandoo.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Medion\PowerVCR II\Agent.exe
C:\Program Files\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Cobian Backup 8\Cobian.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\DesktopEarth\DesktopEarth.exe
C:\Program Files\Cobian Backup 8\cbInterface.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vdu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vdu\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Vdu\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dwrmntsdrt.dll
BHO: SXG Advisor - {132E4218-F960-4E17-B3F6-0F05431D81C6}
TypeLib: {D604E3C4-21ED-43D4-8CDF-759954DE7E88}
Interface: {435DEA43-7D14-47F0-8223-B416BD296464}
Interface: {82FC6E1B-7C32-4144-B95D-22D757327778}
+--------------------------------------------------+
[!] Suspicious: swg.dll
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
TypeLib: {C7CB459A-7261-4AE6-A87A-17041EE98A40}
Interface: {1F7328B7-E25A-4527-B24B-D9173401BB89}
Interface: {2212951C-1623-4095-906B-AC50B8F91016}
Interface: {2351B346-00E8-4EAC-9B75-B138B465D659}
Interface: {91959FBB-853A-4AC7-A082-2DDF787F4CA9}
Interface: {91F39C2A-95E7-497A-A539-0AC715DC66D2}
Interface: {9891812B-5820-4A77-827E-772B200239E1}
Interface: {A0CF48B9-DB91-49A5-BEE7-2FB45BA2F610}
Interface: {AF606610-3627-4DF2-A6D5-32C6A355ACD1}
Interface: {DA69D3CC-7676-4A65-889F-C052977F1AA9}

[!] Suspicious: edfqvrw.dll
Toolbar: edfqvrw - {AB41490A-2B8A-414F-BFFB-D3527364EE25}
TypeLib: {CB7E3AA3-D273-428B-A0DD-579689D26EC1}
Interface: {19C93F79-69BC-4994-B6C6-8D9CCCD9C454}
Classe: edfqvrw.bsdw
Classe: edfqvrw.ToolBar.1

[!] Suspicious: WPDShServiceObj.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5}

[!] Suspicious: afxlspw.dll
SSODL: afxlspw - {76EAD6E2-DC56-472D-A370-A4EF59381464}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\\progra~1\\bandoo\\bndhook.dll "


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: D-Link AirPlus DWL-G520 Wireless PCI Adapter(rev.B) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{409A631A-9465-4514-8E24-3F499255D555}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{409A631A-9465-4514-8E24-3F499255D555}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{409A631A-9465-4514-8E24-3F499255D555}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

que dois je faire maintenant???
merci de toute ton aide
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS