logiciel de pubs == infection... HELP !

tout est là, c'est un prog que j'arrive pas à quitter... quand je clique dessus, ça ouvre cette page : http://www.virusburst.com/?aff=321

il est pas détecté par mon anti-virus...

sa crain tu devrai regarder dans ton registre si ya pa des trucs louche avec des logiciel pour ca genre spybot etc....

CRITICAL SYSTEM ERROR!

Please, eat your computer so you may get AIDS and CANCER

t'as essayer de le virer par ctrl alt spr dans le menu processus?

utilise spybot search & destroy et Ad-Aware Personal Edition

Ctrl alt supr, soit ça marche radicalement, soit ça fait bloquer l'ordi, c'est être sur le fil d'une épée...

mais si s'est un virus je pense pas que ctrl+alt+suppr peut i faire quelque chose

Oui, en plus. :fier:

avec spybot, j'en ai trouvé plein, mais pas lui...
l'autre non plus n'a rien trouvé... :snif2:

J'ai presque envie de dire que si vous ne savez pas de quoi vous parlez, ne dites rien

C'est surement du smitfraud, pour en être sûr, on va faire deux choses

Tu auras besoin de sauvegarder les instructions car tu n'auras pas accès à internet pendant une partie des opérations. D'habitude, j'explique plus en détails les opérations, mais je pense que tu sais quoi faire. Sinon, demande moi de plus décrire les opérations

1-Télécharge hijackthis, dézippe-le et met le dans un dossier : http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html

2-Télécharge smitfraudix, dézippe-le et ouvre-le (le fichier smitfraudfix) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

3-Appuie sur le chiffre "1" et appuie sur la touche entrer de ton clavier. Un rapport va être généré. Ferme smitfraudfix

4-Redémarre l'ordinateur en mode sans échec. Pour cela, dès le redémarrage de l'ordinateur, appuie plusieurs fois sur le bouton "F8". Un menu te sera proposé, choisis "Mode sans échec" et appuie sur la touche entrer. Choisis normalement ton utilisateur, il se peut qu'un message de confirmation te demande si tu veux vraiment aller en mode sans échec. Accepte.

5-Ouvre de nouveau smitfraudfix et appuie sur "2". Si smitfraudfix te demande une confirmation pour nettoyer le registre, accepte. Un rapport va être généré, sauvegarde-le.

6-Retourne en mode normal, ouvre hijackthis et clique sur "do a system scan and save a log file". Sauvegarde le rapport. Poste les rapports suivants sur le forum :
-Hijackthis
-Smitfraudfix rapport 1 et 2

je compatis : JE SOUFFRE HELP

Pour Lews Therin, si tu fais: Ctrl + Alt + Suppr et tu choisis de tuer les processus et non les programmes, ça fonctionne à tout les coups.

Sinon je crois que Bibi a tout dit.

daminetreg a écrit:

Pour Lews Therin, si tu fais: Ctrl + Alt + Suppr et tu choisis de tuer les processus et non les programmes, ça fonctionne à tout les coups.

c'est pas le contraire ?

moi, en temps normal j'ai aucun programme et 30 processus...

Ouais mais les virus vont surement rester...

Par contre 0 progs et 30 processus, il y a plein de virus surement !!!

Levans a écrit:

daminetreg a écrit:

Pour Lews Therin, si tu fais: Ctrl + Alt + Suppr et tu choisis de tuer les processus et non les programmes, ça fonctionne à tout les coups.

c'est pas le contraire ?

moi, en temps normal j'ai aucun programme et 30 processus...

Voir mon post sur smitfraudfix

=> bibi : je pense qu'il y a pas besoin de poster les logs, tout est réparé !

= ??? : les prossessus, c'est les composants de windows et autres progs qui fonctionne sans te le dire, c'est donc normal d'en avoir une trentaine, le plus dur, c'est de trouver ceux qui sont mauvais...

Levans a écrit:

=> bibi : je pense qu'il y a pas besoin de poster les logs, tout est réparé !

= ??? : les prossessus, c'est les composants de windows et autres progs qui fonctionne sans te le dire, c'est donc normal d'en avoir une trentaine, le plus dur, c'est de trouver ceux qui sont mauvais...

Et bien tant mieux, tu as fais quoi pour le réparer, c'est toujours très intéréssant à savoir, mais il est mieux de poster un log car une infection ne vient jamais seule...

ben, en mode sans échecs, le prog était toujours démarré, j'ai lance SmitfraudFix pour la 2e fois, j'ai tapé 2 (netoyer), et après avoir redémarré l'ordi, le prog était plus là, c'est tout.

enfin, si tu veut les logs :

SmitfraudFix 1 a écrit:

SmitFraudFix v2.90

Rapport fait à 17:07:39,28, 17/09/2006
Executé à partir de C:\Documents and Settings\HP_Propri‚taire\Bureau\desinfect\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\qxfgcg.dll PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris

C:\DOCUME~1\HP_PRO~1\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Virus-Burst\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://127.0.0.1/wallpaper/index.php"
"SubscribedURL"="http://127.0.0.1/wallpaper/index.php"
"FriendlyName"=""

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"fairydom"="{5839511e-ec1b-4f91-ace3-fb88e52f5239}"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2be26361-58a2-4836-be57-b838f02fec3f}"="astrogeology"

[HKEY_CLASSES_ROOT\CLSID\{2be26361-58a2-4836-be57-b838f02fec3f}\InProcServer32]
@="C:\WINDOWS\system32\qxfgcg.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2be26361-58a2-4836-be57-b838f02fec3f}\InProcServer32]
@="C:\WINDOWS\system32\qxfgcg.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

J'ai fait un coup d'oeil rapide et tout semble propre, si tu as encore DAP, je te conseille de l'enlever car il est pas mal infecté. Aussi, je pense que tu utlises F-Secure comme antivirus ? Ton ancien devait être Norton car il reste une trace du logiciel sur ton rapport Il y aussi la ligne lié à ton fournisseur internet qui dit qu'il manque un fichier. As-tu des problèmes avec ton accès internet ?

Mis à part si tu tiens à corriger la ligne lié à ton fournisseur internet (avec LSPFix) et enlevé le service lié à Norton, tu peux marquer résolu au titre de ton topic

je n'ai aucun problèmes avec mon fournisseur d'accès (cegetel, avant AOL mais il me semble qu'il laisse pas mal de traces, non ?)
F-Secure est l'antivirus de Cegetel.
Je vait voir pour DAP (que je n'utilise plus)

explique moi comment rparer ces erreurs s'il te plait, (je ne veut me retaper un truc du style)

DAP : Tu n'as qu'à l'enlever avec le panneau de configuration. Tu peux utiliser Free Download Manager qui est sans malwares

--------------------------------------------------------------

Norton : Clique sur "Démarrer" et sur "Exécuter". Tape services.msc

Dans la liste qui vient d'apparaître, cherche le service suivant : SymWMI Service. Double-clique dessus.

Si tu regardes bien, tu verras une liste déroulante avec un texte qui est écrit "Type de démarrage". Clique sur la liste déroulante et sélectionne "Désactivé". Puis, un peu plus bas, il y a 4 boutons, clique sur celui qui dit "Arrêter", clique sur le bouton "OK". Ferme la fenêtre des services.

Ouvre hijackthis et clique sur, fait un rapport avec "do a system scan only" et coche la ligne suivante :

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Clique sur "Fix Checked", ferme hijackthis et ouvre-le de nouveau.

Clique sur "Open the Misc Tools section" et sur "Delete an NT service…". Une fenêtre va apparaître, copie-colle (pour éviter les fautes de frappes) :

SymWMI Service

Après, clique sur "OK". Une confirmation te sera demandée, clique sur "Oui". Un autre message va apparaître et te demander si tu veux redémarrer ton ordinateur, réponds "Non". Ferme hijackthis. Il te restera juste à redémarrer l'ordinateur quand tu auras corrigé la ligne lié à ton fournisseur internet.

--------------------------------------------------------------

Fournisseur internet : Télécharge LSPFix : http://www.cexx.org/LSPFix.exe

Ouvre-le, coche "I know what i'm doing", ne fait rien d'autre et clique sur "Finish".

--------------------------------------------------------------

Et pour finir : Tu peux enlever hijackthis, LSPFix et Smitfraudfix. Une bonne défragmentation et un nettoyage avec un logiciel comme CCleaner fait toujours du bien

Euh Levans, je savais ça mais j'ais mal évalué, c'est tout
C'est à partir de 35 - 40 que ça commence à être intriguant...
Même 30 c'est beaucoup...(ça dépend des trucs installés sur ton ordi mais quand même...)

=> ??? : ben, par exemple, y'a le prossessus svhost.exe de windows, qui apparait 8 fois....

A oui, celui là je le voyais souvent avant mais je doute car depuis la réinstallation complète de windows, il n'y est plus beaucoup...

ce sont des procéssus système

ils gèrent l'ouverture des images, la connection internet, les imprimmantes ...

c'est normal d'en avoir plusieurs

c'est ce que je mue à lui expliquer depuis 2 jours !