DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 6:08 FAQ | Rechercher | Membres | Groupes

paytime.exe ...


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 2:54    Sujet du message: paytime.exe ... Répondre en citant

Bonjour

Voila y semblerai que j'ai ce virus qui me cause bien du soucis.

Je ne suis pas un spécialiste de l'informatique donc je vient vous demandez de l'aide merci a vous.

J'ai quand meme essayer de me debrouiller par moi meme en cherchant sur divers forum et je me suis aprecu que on demandez a chaque fois un Hijackthis , donc j'ai télécharger se programme et je vous donne le resultat

Log supprimé
Merci a vous

PS: impossible d'utilisez IE mais sa passe avec mozilla 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Mai 2006 à 6:06    Sujet du message: Répondre en citant

Bonjour,

en plus de ce paypal tu es infecté par un spy sherif

Désactive la restauration systeme


Ccleaner
Cliquez sur download latest version en haut a droite pour le télécharger.

Installe le,
Dans erreur
Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite


Regseeker
Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.


Télécharge

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Décompresse le sur le bureau
lance smitfraudfix.cmd
choisis l'option 1
Sauvegarde le rapport généré

Redémarre en mode sans echec
relance smitfraudfix.cmd
choisis l'option 2
sauvegarde le rapport généré.

- Autorise l'affichage des fichiers et dossiers cachés

Citation:
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements



Relance hijackthis et coche ces lignes si présentes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\paytime.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: vlcom.lnk = C:\Program Files\VlcOM\vlcom.exe
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

Clique sur fixer objet

recherche et supprime ces fichierssi présents

c:\secure32.html
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\winmuse.exe
c:\Program Files\paytime.exe
C:\winstall.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe
C:\Program Files\VlcOM\vlcom.exe
C:\WINDOWS\SYSTEM32\xptptt.dll
c:\kl1.exe
C:\WINDOWS\system32\TheMatrixHasYou.exe


- Utilise Ccleaner


- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage


- Utilise regseeker
nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

Redémarre en mode normal

Pour nettoyer un peu plus en profondeur

Télécharge la version d'évaluation d'ewido

http://download.ewido.net/ewido-setup.exe
- Pendant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
Lance Ewido Security Suite. Clique sur Mise à jour
- unf fois les mises à jours terminées
- Clique sur Scanner puis sur Scan complet du système
- Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée
- A la fin du scan, Sauver le rapport mais pas besoin de le poster pour le moment




- Poste le second rapport de smitfraudfix

- Refais un scan avec Hijackthis et poste son rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 11:34    Sujet du message: Répondre en citant

Bon j'ai bien lu , mais des le debut j'ai un soucis , je ne peut pas "desactiver la restauration system" Car quand je suis ce que tu me dit dans mon "system" j'ai 6 onglet :

- mise a jour
-utilisaion a distance
-General
-nom de l'ordinateur
-materiel
-avancer

Voila c'est tout mon OS et winxp Pro

Merci a toi

Je peux joindre des screen si néccesaire 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Mai 2006 à 12:58    Sujet du message: Répondre en citant

Bizarre..

Fais deja tout ce qui est possible afin d'eviter la propagation car ca deviendra beaucoup plus problematique apres 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 13:29    Sujet du message: Répondre en citant

Je vais essayer de faire tout ce que tu as dit sans couper la restauration system , on va bien voir.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 12 Mai 2006 à 13:47    Sujet du message: Répondre en citant

Virer ce truc-much-de-bouffage-de-place-lourd-et-ch---

DEMARRER > EXECUTER > "services.msc"

Service de restauration système > STOP + Désactivé
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 14:26    Sujet du message: Répondre en citant

Log supprimé

et voila le dernier hijackthis :

Log supprimé - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 14:49    Sujet du message: Répondre en citant

Ah oui tout ce que je vient de faire je l'est fait sans desactiver le system de restauration :/

Donc je repars depuis le debut ou sais bon ?

Au passage Ewido me trouve pas mal de chose :/ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 17:34    Sujet du message: Répondre en citant

Citation:
Virer ce truc-much-de-bouffage-de-place-lourd-et-ch---

DEMARRER > EXECUTER > "services.msc"

Service de restauration système > STOP + Désactivé
-----


Je l'est fait met je ne'st pas le service indiquer Mad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 12 Mai 2006 à 17:39    Sujet du message: Répondre en citant

Il est peut-être pas installé alors...

quelle est ta version windows ???

est-ce une OEM ??? (= version fournie avec un pc de marque et préparré par le fabricant)
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 12 Mai 2006 à 17:48    Sujet du message: Répondre en citant

Heu ...

Panneau de configuration > System > Onglet general

C'est indiquer :

Microsoft Windows XP Professionel
Version 2002
Service Pack 2


Bref ou j en suis Mad , vu que je sors et que je risque de rentrer tard je vous post quand meme le rapport ewido :

--------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 14:24:48, 12/05/2006
+ Somme de contrôle: 481A4903

+ Résultats du scan:

[788] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
[1468] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
[1328] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.dll -> Trojan.Sinowal.m : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00008.dll -> Trojan.Sinowal.m : Nettoyer et sauvegarder
C:\Program Files\Internet Explorer\loader.exe -> Downloader.Agent.akj : Nettoyer et sauvegarder
C:\Program Files\Internet Explorer\update.exe -> Adware.BHO : Nettoyer et sauvegarder
C:\WINDOWS\system32\0mcamcap.exe -> Proxy.Small.bo : Nettoyer et sauvegarder
C:\WINDOWS\system32\sd.dll -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\sd.sys -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\xptpmm.sys -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage


::Fin du rapport

Voila merci a vous 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Mai 2006 à 20:39    Sujet du message: Répondre en citant

Bonsoir,

Ne reste donc que ce fichier à supprimer

C:\WINDOWS\system32\xptptt.dl

Au besoin utilise Unlocker ou Killbox

Détaille des procédures ici
http://www.cfasi.net/modules/news/article.php?storyid=3 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 13 Mai 2006 à 20:02    Sujet du message: Répondre en citant

Bon je tient deja as tous vous remercier pour vos conseil , je pense que c'est bon je ne suis plus infecter je vous post quand meme les 2 derniers rapport :


Log supprimé
et


---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 19:56:40, 13/05/2006
+ Somme de contrôle: 39CD15D0

+ Résultats du scan:

Pas de fichiers infectés trouvés!


::Fin du rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 13 Mai 2006 à 20:56    Sujet du message: Répondre en citant

Very Happy
Te voila débarassé

reste tout de même ces lignes à fixer avec hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=
O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)


Pour le reste c'est OK tout est bon 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
fonzy



Inscrit le: 12 Mai 2006
Messages: 14

MessagePosté le: 13 Mai 2006 à 22:21    Sujet du message: Répondre en citant

Tu entend quoi pas "Fixer" ?

Merci encore 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum