| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
 Posté le: 12 Mai 2006 à 2:54 Sujet du message: paytime.exe ... |
 |
|
Bonjour
Voila y semblerai que j'ai ce virus qui me cause bien du soucis.
Je ne suis pas un spécialiste de l'informatique donc je vient vous demandez de l'aide merci a vous.
J'ai quand meme essayer de me debrouiller par moi meme en cherchant sur divers forum et je me suis aprecu que on demandez a chaque fois un Hijackthis , donc j'ai télécharger se programme et je vous donne le resultat
Log supprimé
Merci a vous
PS: impossible d'utilisez IE mais sa passe avec mozilla |
|
| Revenir en haut de page |
|
 |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 12 Mai 2006 à 6:06 Sujet du message: |
|
|
Bonjour,
en plus de ce paypal tu es infecté par un spy sherif
Désactive la restauration systeme
Ccleaner
Cliquez sur download latest version en haut a droite pour le télécharger.
Installe le,
Dans erreur
Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite
Regseeker
Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.
Télécharge
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Décompresse le sur le bureau
lance smitfraudfix.cmd
choisis l'option 1
Sauvegarde le rapport généré
Redémarre en mode sans echec
relance smitfraudfix.cmd
choisis l'option 2
sauvegarde le rapport généré.
- Autorise l'affichage des fichiers et dossiers cachés
| Citation: |
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements |
Relance hijackthis et coche ces lignes si présentes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\paytime.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: vlcom.lnk = C:\Program Files\VlcOM\vlcom.exe
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
Clique sur fixer objet
recherche et supprime ces fichierssi présents
c:\secure32.html
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\winmuse.exe
c:\Program Files\paytime.exe
C:\winstall.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe
C:\Program Files\VlcOM\vlcom.exe
C:\WINDOWS\SYSTEM32\xptptt.dll
c:\kl1.exe
C:\WINDOWS\system32\TheMatrixHasYou.exe
- Utilise Ccleaner
- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage
- Utilise regseeker
nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees
Redémarre en mode normal
Pour nettoyer un peu plus en profondeur
Télécharge la version d'évaluation d'ewido
http://download.ewido.net/ewido-setup.exe
- Pendant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
Lance Ewido Security Suite. Clique sur Mise à jour
- unf fois les mises à jours terminées
- Clique sur Scanner puis sur Scan complet du système
- Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée
- A la fin du scan, Sauver le rapport mais pas besoin de le poster pour le moment
- Poste le second rapport de smitfraudfix
- Refais un scan avec Hijackthis et poste son rapport |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 11:34 Sujet du message: |
|
|
Bon j'ai bien lu , mais des le debut j'ai un soucis , je ne peut pas "desactiver la restauration system" Car quand je suis ce que tu me dit dans mon "system" j'ai 6 onglet :
- mise a jour
-utilisaion a distance
-General
-nom de l'ordinateur
-materiel
-avancer
Voila c'est tout mon OS et winxp Pro
Merci a toi
Je peux joindre des screen si néccesaire |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 12 Mai 2006 à 12:58 Sujet du message: |
|
|
Bizarre..
Fais deja tout ce qui est possible afin d'eviter la propagation car ca deviendra beaucoup plus problematique apres |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 13:29 Sujet du message: |
|
|
| Je vais essayer de faire tout ce que tu as dit sans couper la restauration system , on va bien voir. |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 12 Mai 2006 à 13:47 Sujet du message: |
|
|
Virer ce truc-much-de-bouffage-de-place-lourd-et-ch---
DEMARRER > EXECUTER > "services.msc"
Service de restauration système > STOP + Désactivé
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 14:26 Sujet du message: |
|
|
Log supprimé
et voila le dernier hijackthis :
Log supprimé - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 14:49 Sujet du message: |
|
|
Ah oui tout ce que je vient de faire je l'est fait sans desactiver le system de restauration :/
Donc je repars depuis le debut ou sais bon ?
Au passage Ewido me trouve pas mal de chose :/ |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 17:34 Sujet du message: |
|
|
| Citation: |
Virer ce truc-much-de-bouffage-de-place-lourd-et-ch---
DEMARRER > EXECUTER > "services.msc"
Service de restauration système > STOP + Désactivé
-----
|
Je l'est fait met je ne'st pas le service indiquer  |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 12 Mai 2006 à 17:39 Sujet du message: |
|
|
Il est peut-être pas installé alors...
quelle est ta version windows ???
est-ce une OEM ??? (= version fournie avec un pc de marque et préparré par le fabricant)
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 12 Mai 2006 à 17:48 Sujet du message: |
|
|
Heu ...
Panneau de configuration > System > Onglet general
C'est indiquer :
Microsoft Windows XP Professionel
Version 2002
Service Pack 2
Bref ou j en suis , vu que je sors et que je risque de rentrer tard je vous post quand meme le rapport ewido :
--------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 14:24:48, 12/05/2006
+ Somme de contrôle: 481A4903
+ Résultats du scan:
[788] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
[1468] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
[1328] C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.dll -> Trojan.Sinowal.m : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00008.dll -> Trojan.Sinowal.m : Nettoyer et sauvegarder
C:\Program Files\Internet Explorer\loader.exe -> Downloader.Agent.akj : Nettoyer et sauvegarder
C:\Program Files\Internet Explorer\update.exe -> Adware.BHO : Nettoyer et sauvegarder
C:\WINDOWS\system32\0mcamcap.exe -> Proxy.Small.bo : Nettoyer et sauvegarder
C:\WINDOWS\system32\sd.dll -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\sd.sys -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\xptpmm.sys -> Backdoor.Haxdoor.im : Nettoyer et sauvegarder
C:\WINDOWS\system32\xptptt.dll -> Backdoor.Haxdoor.im : Erreur durant le nettoyage
::Fin du rapport
Voila merci a vous |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 13 Mai 2006 à 20:02 Sujet du message: |
|
|
Bon je tient deja as tous vous remercier pour vos conseil , je pense que c'est bon je ne suis plus infecter je vous post quand meme les 2 derniers rapport :
Log supprimé
et
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 19:56:40, 13/05/2006
+ Somme de contrôle: 39CD15D0
+ Résultats du scan:
Pas de fichiers infectés trouvés!
::Fin du rapport |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 13 Mai 2006 à 20:56 Sujet du message: |
|
|
Te voila débarassé
reste tout de même ces lignes à fixer avec hijackthis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=
O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)
Pour le reste c'est OK tout est bon |
|
| Revenir en haut de page |
|
|
fonzy
Inscrit le: 12 Mai 2006
Messages: 14
|
| Posté le: 13 Mai 2006 à 22:21 Sujet du message: |
|
|
Tu entend quoi pas "Fixer" ?
Merci encore |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
