Résolu Retirer virus your system infected

[normandian]

bonjour a tous

c'est mon tour mon pc a été infecté par ''your computer is infected'' encart noir sur mon bureau...
rapport + désinfection avec smitfraud : rien !
si quelqu'un pouvait me donner un coup de main ???
merci par avance...
voici le rapport après désinfection :
SmitFraudFix v2.424

Rapport fait à 9:37:51,35, 26/09/2010
Executé à partir de C:\Documents and Settings\HP_Propri‚taire.NOM-EB85C523610.000\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\Philips\SPC500NC\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Orange\MailNotifier\MailNotifier.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Orange\Connexion Internet Orange\systray\systrayapp.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe
\\.\globalroot\Device\svchost.exe\svchost.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\HP_Propriétaire.NOM-EB85C523610.000\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire.NOM-EB85C523610.000


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1.000\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire.NOM-EB85C523610.000\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1.000\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{99A3CFFE-5800-43C2-9FA8-B99F5C00260D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{99A3CFFE-5800-43C2-9FA8-B99F5C00260D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{99A3CFFE-5800-43C2-9FA8-B99F5C00260D}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

[Guest]

Et si tu nous en disais plutôt un peu plus sur le message d'erreur "'your computer is infected'' ?

Il provient d'où ? Il arrive quand ?

 

[cosmido]

Produisez un diagnostique complet du PC.
• Téléchargez sur votre bureau

Vous devez être connecté pour voir les liens.

(de Coolman).
• Lancer ZHPDiag.exe par un double-clique

…………..Le rapport ZHPDiag.txt va s'ouvrir..

Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

► Poster le avec l'hébergeur CJoint -

Vous devez être connecté pour voir les liens.

.

 

[normandian]

Et si tu nous en disais plutôt un peu plus sur le message d'erreur "'your computer is infected'' ?

Il provient d'où ? Il arrive quand ?

hello marco, merci déjà pour ta réponce, le texte complet sur fond noir est "your computer is infected, system has stopped due to a serious malfunction spware activity has been detected" sur fond noir,petit encart sur le bureau... en même temps un scan détecte 74 virus et je dois acheter l'anti virus... tu vois le truc ?

 

[Guest]

C'est quel logiciel qui t'indique ce message ?

Il devrait y avoir une autre indication, dans le haut de la fenêtre, non ?

A mon avis, vu comme ça, c'est une pub. Si ton anti-virus habituel est à jour et qu'il ne détecte rien, laisse tomber.

 

[cosmido]

C'est quel logiciel qui t'indique ce message ?

A mon avis, vu comme ça, c'est une pub. Si ton anti-virus habituel est à jour et qu'il ne détecte rien, laisse tomber.

Ce n'est pas que de la pub.

Si ce n'est pas déjà fait.
Les association .Exe ont été/seront modifiés dans le registre. Aucune applications ne pourra être lancées, mis à part Internet Explorer. Avec lequel aucun téléchargement possible, puisque qu'un proxy y a été ajouté etc.. etc..

Poster le rapport ZHPDiag..

 

[normandian]

Ce n'est pas que de la pub.

Si ce n'est pas déjà fait.
Les association .Exe ont été/seront modifiés dans le registre. Aucune applications ne pourra être lancées, mis à part Internet Explorer. Avec lequel aucun téléchargement possible, puisque qu'un proxy y a été ajouté etc.. etc..

Poster le rapport ZHPDiag..

pas certain que se soit ça, mais voilà ce que m'a sorti zhpfix

 

[normandian]

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre :
Run by HP_Propriétaire at 26/09/2010 20:08:56
Web site :

Vous devez être connecté pour voir les liens.

Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
ProxyFix : Aucun proxy de configuré


========== Récapitulatif ==========
1 : Valeur(s) du Registre


End of the scan

 

[normandian]

mais effectivement je peux qu'ouvrir internet le reste est bloqué...

 

[cosmido]

C'est pas ZHPFix que l'on attend
.........................c'est ZHPDiag

Si vous capable de télécharger ..faites ce qui suit.

Restauration des associations de fichiers .exe ..

• Désactivez votre antivirus.

• Téléchargez/Lancez un des outils suivant (de Grinler).
…. N’utilisez que le premier lien http//.. qui ce lancera !

Vous devez être connecté pour voir les liens.

http://download.bleepingcomputer.com/grinler/rkill.com

Vous devez être connecté pour voir les liens.

http://download.bleepingcomputer.com/grinler/iExplore.exe

• Réactivez l’antivirus

P.S. : Ne pas redémarrer le PC après cela.

>>>>>>>>>>>> et hop un rapport ZHPDiag.

Si vous n'êtes plus capable de télécharger.
Et n'avez accès à aucun autre ordi pour télécharger..
Alors j'vous placerez une autre procédure qui fait la même chose. Tout en contournant ce blocage de l'infection

 

[normandian]

avec zhpdiag le pc commence a créer un rapport et ne va pas au bout du processus, impossible de trouver le rapport, quandje clique sur l'icone zhp diag
j'ai une fenêtre qui s'ouvre "windows ne parvient pas a acceder au périphérique, au chemin d'accès ou au fichier spécifié, vous ne disposez peut être pas des autorisations appropirées pour avoir accès a ces éléments"...

comme vous l'avez tous compris suis pas un pro en informatique en +...

 

[cosmido]

Faites le message précédent et réessayer ZHPDiag.

Sinon le rapport est dans \Program Files\ZHPDiag\.. ZHPDiag.txt

 

[normandian]

MERCI DE VOTRE AIDE EN TOUT CAS, ça m'a donné ça ?! ça vous parles ?

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as HP_Propri‚taire on 26/09/2010 at 20:48:11.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\HP_Propriétaire.NOM-EB85C523610.000\Local Settings\Temporary Internet Files\Content.IE5\DJCCRKWV\rkill[1].scr


Rkill completed on 26/09/2010 at 20:48:15.

 

[normandian]

j'ai arrêter le avast, mais l'anti virus du pc a pris le relais je ne sais pas comment l'arrêter :/

 

[normandian]

toujours pas de zhpdiag.txt dans program files/ZHPdiag...

 

[cosmido]

Rapport d'analyse du PC

Vous devez être connecté pour voir les images.

Téléchargez sur le bureau

Vous devez être connecté pour voir les liens.

• Installez HJTInstall.exe et lancez le raccourci créé sur le bureau,

• Appuyez sur

Vous devez être connecté pour voir les images.

..et ensuite sur

Vous devez être connecté pour voir les images.

.

.. Le bloc-note va s'ouvrir avec un rapport,
► Postez le rapport.


Ajouter...
• Télécharger et décompresser

Vous devez être connecté pour voir les liens.

.
• Double-cliquer aur rep.bat.
► Poster le rapport.

 

[normandian]

bon et bien, la procedure exe ce passe normalement, jusqu'a ce qu'une fenêtre s'ouvre "l'éditeur n'a pas pus être, vérifié; voulez vous vraiment exécuter ce logiciel... a quoi je répond exécuter... et là message, windows ne parvient pas aaccéder au périphérique, au chemin d'accés, bla, bla bla... t1cable:

 

[normandian]

pour le second fichier a décompresser winrar me demande de l'argent...
avast ne fonctionne plus non plus...

 

[cosmido]

Désinstallerez Winrar ..après tout ça.

Au besoin relancer le 1ier Rkill qui ce lance.
Pour décompresser un .zip. Vous n'avez qu'à double-cliquer dessus et glisser le fichier sur le bureau. Ou faire un clic-droit dessus et utiliser l'outil de windows : Extraire tout..

 

[hellsing35]

BONJOUR
j'ai exactement la meme chose
cela a commence par un message "YOUR COMPUTER IS INFECTED" puis avec un certain ANTIVIRUS2010 qui s'est mis a scanner mon pc.
Puis j'ai perdu tout mes icones et barre de tache et pour finir plus rien ne fonctionne sauf internet explorer. j'ai testé toutes vos tentatives de rapport mais rien ne fonctionne , j'ai egalement droit au message " windows ne parvient pas à acceder aux peripheriques ...."
impossible de faire un rapport donc impossible de connaitre la source
ca sent le formatage...
j'ai tout teste hijack , malewarbytes le virus les bloque meme en utilisant le rkill
qqn a peut etre une derniere solution???