Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 Infection par virus win32: Fraud Tool - GI [Tool]

Voir le sujet précédent Voir le sujet suivant Aller en bas 
Aller à la page : Précédent  1, 2
AuteurMessage
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 22:24

Rappel du premier message :

Bonsoir Bibou,

de retour sur le forum pour une nouvelle demande d' aide en ligne.
Mon PC est infecté par un virus nommé win32: Fraud Tool -GI[Tool], conséquence une fenêtre d' alerte Avast apparait toutes
les dix secondes pour me prévenir qu'un logiciel malveillant a été trouvé sur mon PC.
Avast ne parvient pas à eliminer le problèm, je ne peux quasiment plus travailler sur ce PC et j' utilise mon portable pour t' écrire.
Y a t'il une solution pour stopper ce virus.

Merci d' avance pour ton aide

Cdlt

Gruik63
Revenir en haut Aller en bas

AuteurMessage
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:56

combofix message 3

.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-LDM - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
HKCU-Run-Spamihilator - C:\Program Files\Spamihilator\spamihilator.exe
HKLM-Run-Emjysoft_Anti-spam - C:\Program Files\Emjysoft\Anti-Spam\antispam.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R0 -: HKLM-Main,Start Page = hxxp://start.emjysoft.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
C:\WINDOWS\Downloaded Program Files\IPSUploader.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 23:45:25
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-12 23:47:58
ComboFix-quarantined-files.txt 2008-09-12 21:47:10

Pre-Run: 32,432,316,416 octets libres
Post-Run: 32,983,506,944 octets libres

208 --- E O F --- 2008-09-10 10:55:26
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:01

ci après le rapport HIjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:19, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\HPZinw12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml

--
End of file - 9723 bytes
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:25

On va supprimer un service

Menu démarrer => tous les programmes => accessoires => exécuter
Tape services.msc et valide
Dans la fenêtre qui s'ouvre, cherche le service Boonty Games
Double clique dessus :
=> dans le champ Status du service mets le sur arrêter
=> dans le champ Type de démarrage mets le sur désactivé puis valide.
Quitte les services.

Relance Hijackthis
=> clique sur Misc Tools Section => Delete an NT service
=> entre le nom du service dans la case : Boonty Games et tu cliques sur ok



Après tout ceci, as tu encore des problèmes ?

EDIT : supprime ce fichier C:\WINDOWS\system32\421.tmp

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:30

ok je fais la manip tu attends la fin ? je fais vite si tu veux
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:37

le statut du service était déja arreté et j ai désactivé dans type de démarrage
je poursuis
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:41

désolé pour hijackthis je ne pige pas je ne trouve pas Misc Tools Section
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:45

je dois supprimer ce fichier : EDIT : supprime ce fichier C:\WINDOWS\system32\421.tmp
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:50

c bon j ai eradiqué boonty games me reste plus qu ' à supprimer le fichier dont tu m as parlé
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:51

tjrs là ?
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 0:53

Oui, encore là.
Mais si tu veux y aller, ne te gêne pas hein

Oupla, j'ai sauté un message, oui supprime le fichier

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 1:02

Non suis pas pressé repos demain, a priori tout est redevenu normal, penses tu qu' un autre antivirus qu' avast aurait pu m' eviter tout ça ou est il tout autant suffisant qu' un autre. Quels conseils peux tu me donner pourassurer une bonne maintenance sur ce PC?
En tous cas je tiens sincèrement à te remercier c' est la seconde fois cette année que tu me sors de l' embarras et j' avoue que seul la solution aurait éte un rebootage complet du PC avec des heures de labeur.
Encore merci pour ta disponibilité et l' intéret porté aux pbms de pauvres néophytes comme moi.Un grand remerciement à toute l' équipe Bibou pour la qualité du site.
Cdlt
Gruik63 Very Happy
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 1:10

pour finir ai eu une alerte avast en enlevant le fichier, l ai supprimé avec Avast
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 1:12

alerte m'alertant sur un logiciel malveillant
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 1:24

De rien
Par contre, ce n'est pas fini Smile et ça tombe bien que tu en parles :

Je te conseille de désinstaller ton antivirus actuel
Pour désinstaller Avast
>>> http://www.avast.com/fre/avast-uninstall-utility.html
Supprime ce dossier C:\Program Files\Alwil Software


Télécharge et installe Antivir
>>> http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

=> Après installation, mets le à jour (clic droit sur l'icône Antivir dans la barre des tâches en bas à droite de l'écran, sélectionne Start Update).
=> Si le pare-feu lance une alerte, accepte la connexion.
=> Assure toi qu'Antivir est bien à jour (clic droit sur l'icône Antivir dans la barre des tâches en bas à droite de l'écran, => sélectionne Start Antivir et vérifie la date de Last update qui doit correspondre à aujourd'hui).

Redémarre le pc en mode sans échec : Méthode F8 de préférence


Lance Antivir
=> Clique sur l'onglet Local Protection.
=> Sélectionne Manual Sélection sur le disque local C:.
=> Lance le scan et mettre en quarantaine tous les éléments détectés
=> Une fois le scan terminé, enregistre le rapport sur le bureau.

Redémarre normalement le pc et poste le contenu du rapport dans ta prochaine réponse.

Bonne nuit

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 13:59

Bjr

comme indiqué dans le mode opératoire j' ai désactivé la protection résidente d' avast, téléchargé Alwil.
Quand je lance le logiciel, j' ai le massage suivant: the avast self protection module is enbled. For this reason the operation cannot be completed . To complete the operation either run this program from windows safe mode or disable the avst self protection via settings ==> troubleshooting page.

Ai essayé d' enlever le fichier C:\Program Files\Alwil Software impossible de le supprimer

Help !!
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 14:29

ai donc supprime avast par le mode classique supprimer programme, apparement il a disparu mais je n' y crois pas trop, concernant le fichier C:\Program Files\Alwil Software toujours impossible de le supprimer voici la réponse que j obtiens qiuand je tente de le désinstaller : impossible de supprimer aavm4h.dll : accès refusé, vérifiez que le disque n' est pas plein ou protégé en écriture et que le fichier n est pas utilisé actuellement .
En rentrant dans C:\Program Files\Alwil Software, je retrouve le dossier avast impossible de le supprimer à la mano .....

Décourageant ......
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 15:26

ai réussi à supprimer avast et le dossier C:\Program Files\Alwil Software en mode sans échec, cette fois Avast a disparu !
J installe donc maintenant antivir et je suis le mode opératoire afin de t' envoyer le rapport

Slts

Gruik63
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 13 Sep 2008 - 21:15

Bsr

tu trouveras ci dessous le rapport de l' analyse Antivir. J utilise google depuis que j'ai installé Antivir un grand R dans un carré rouge est venu se positionner devant le mot Google sur l' onglet en haut de page. Y a t'il une raison particulière, est ce lié , sais tu à quoi ça correspond ?

Avira AntiVir Personal
Report file date: samedi 13 septembre 2008 15:41

Scanning for 1612438 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Save mode
Username: SABINE ET FRED
Computer name: THIAULT

Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12/09/2008 13:25:42
ANTIVIR3.VDF : 7.0.6.154 2048 Bytes 12/09/2008 13:25:42
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AEscript.DLL : 8.1.0.70 319866 Bytes 13/09/2008 13:25:55
AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 12:44:49
AERDL.DLL : 8.1.1.1 397683 Bytes 13/09/2008 13:25:53
AEPACK.DLL : 8.1.2.1 364917 Bytes 15/07/2008 12:58:35
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 13/09/2008 13:25:51
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 13/09/2008 13:25:50
AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 12:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 13/09/2008 13:25:46
AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 08:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 13/09/2008 13:25:44
AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 13/09/2008 13:25:43
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 13 septembre 2008 15:41

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '74' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe
[0] Archive type: CAB SFX (self extracting)
--> Graphics\Animations\002-Action02.png
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\$NtServicePackUninstall$\ftp.exe
[DETECTION] Is the TR/Agent.49664.J Trojan
[NOTE] The file was moved to '493bf6bb.qua'!
C:\_OTMoveIt\MovedFiles\09112008_194457\WINDOWS\system32\418.tmp
[DETECTION] Is the TR/Dldr.FraudLoa.NC Trojan
[NOTE] The file was moved to '49040880.qua'!
C:\_OTMoveIt\MovedFiles\09122008_224535\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip
[0] Archive type: ZIP
--> GTA.Grand Theft.Auto.San. Andreas.Crack/Comment Gagner gros sur internet by Sierra/La 1ハre astuce pour tricher avec eurobarre.zip
[1] Archive type: ZIP
--> La 1ハre astuce pour tricher avec eurobarre/Eurofake.exe
[DETECTION] Contains recognition pattern of the WORM/MSN.Kelvir.AC worm
[NOTE] The file was moved to '490d0a82.qua'!
C:\_OTMoveIt\MovedFiles\09122008_224535\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/lphcetvj0ec8v.exe
[DETECTION] Is the TR/Spy.Frauder.dk Trojan
--> backups/phcetvj0ec8v.bmp
[DETECTION] Is the TR/Fakealert.AAF Trojan
--> backups/pphcetvj0ec8v.exe
[DETECTION] Is the TR/Dldr.FraudLoa.NC Trojan
--> backups/tdssadw.dll
[DETECTION] Contains recognition pattern of the RKIT/Clbd.JJ root kit
--> backups/tdsslog.dll
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.rfv back-door program
--> backups/tdssmain.dll
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.rfw back-door program
[NOTE] The file was moved to '492f0a98.qua'!


End of the scan: samedi 13 septembre 2008 20:45
Used time: 5:03:51 Hour(s)

The scan has been done completely.

15088 Scanning directories
406827 Files were scanned
9 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
4 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
406816 Files not concerned
1619 Archives were scanned
3 Warnings
4 Notes
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Lun 15 Sep 2008 - 0:32

Bonsoir Gruik63

Je n'ai pas compris cette histoire de R devant Google.
Est ce que tu pourrais me faire une capture d'écran s'il te plait ?
http://www.bibou0007.com/utilitaires-f81/comment-faire-une-capture-d-ecran-screenshot-et-la-mettre-en-ligne-t877.htm

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Lun 15 Sep 2008 - 19:40

Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Lun 15 Sep 2008 - 19:45

Bonsoir
tu trouveras avant ce message la capture d' écran demandé c bizarre le R rouge s' est installe devanyt le mot Google au moment de l'installation du nouvel antivirus. Je ne sais pas si c'est lié, d' autre part on le remarque mal sur la capture d' écran mais le logo Bibou présent dans l' onglet (à gauche de celui de google) à été remplacé par le logo ebay bizarre vous avez dit bizarre ....

Que penses tu de mes dernières analyses, j' ai un peu galéré mais bref on y est parvenu. Espère que t' as passé un bon w-e, moi boulot, rapports et synthèses professionnlles pas génial ....

@+

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 10:12

Bonjour Gruik63

Je ne t'oublie pas

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 18:29

Rebonjour

Je t'avoue que je ne sais pas ce qu'est ce truc. Tu l'as aussi avec Firefox ?
Poste moi un nouveau rapport Hijackthis s'il te plait

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 21:05

Bonsoir

ci joint le rapport demandé

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:03, on 16/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml

--
End of file - 9797 bytes

concernant le R devant google, je pense que c est de la pub ou pour le moins le logo du site pourquoi un R devant google no say, j' ai un logo également sur d' autres site pour 01 net, ldlc, le A de amazon etc... y' a que sur bibou ou j' ai le logo d' ebay comprends pas.
Que penses tu de la situation de mon Pc aujourd' hui? est il guérit
Ai eu un message d' antivir me disant que le logiciel ne détecte pas les spyware
dois je continuer avec cet anti-virus ou je reinstalle avast ?
D 'après toi quelle est la meilleure solution ?

D' avance merci

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 22:04

Bonsoir

Il faudrait qu'on élimine certaines lignes du rapport Hijackthis :

Relance Hijackthis
Clique sur do a system scan only
Coche la case devant chacune de ces lignes et seulement celles ci si présentes

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


Ferme toutes les fenêtres sauf hijackthis
Clique sur Fixchecked et valide
Ferme hijackthis

Relance hijackthis et vérifie que les 2 lignes que tu viens de "fixer" ont disparu.
Si c'est bon, alors "c'est bon".


Effectivement Antivir Classic n'a pas d'antispyware. Je ne te conseille pas d'installer Avast! car il est trop lent à intégrer les nouvelles infections (si tu avais eu Antivir tu n'aurais peut être pas eu ce problème)
Si tu veux bien, je te donnerai quelques astuces quand ce sera fini, c'est à dire rapidement si tu ne constates pas de problème

Bonne soirée

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 22:26

C' est bon, ça a disparu donc mon pc est "guérit" docteur ?
si j' ai bien compris j' attrppé un trojan ayant installé un rogue mais j' ai l' impression qu'il y avait pas mal d'infections et de virus, seulement dues à c e troyen? Peux tum' expliquer ?
Suis preneur de toutes tes infos sujet Antivir et astuces ?
Pense tu qu' avec une version antivirus payant j' eusse été mieux protégé, si oui saurais tu me conseiller?
L onglet bibou s'affiche tjrs avec le logo ebay, remarques ça ne gêne en rien le fonctionnemnt mais c curieux .
En tout cas merci pour tout c' est sympa de dialoguer avec toi
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 16 Sep 2008 - 22:28

PAs eu de réponse à mon problème de pare feu sous windows vista, si tu as des idées sur le sujet je prends

Merci d' avance
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 17 Sep 2008 - 20:20

Bonsoir Gruik63
Plaisir partagé Smile

Et bien oui, tu as attrapé un "trojan" qui a installé à ton insu un rogue : Antivirus XP 2008.
Tu avais aussi un crack pour le jeu GTA San Andreas ... de manière générale, ne télécharge jamais de cracks, keygen et patch no cd : 99.99% de chance d'infection autant dire infection assurée.
Tu avais aussi Messenger Plus! Live & Sponsor (CiD) : le sponsor est à éviter parce qu'ils affichent des publicités dans tous les sens.
Enfin, BoontyGames n'est pas néfaste en lui même, mais sa politique de confidentialité est à revoir.

~~~~~~~~~~~~

J'ai regardé le problème du parefeu pour ton autre ordinateur, mais je ne sais pas à quoi c'est dû, désolé.

~~~~~~~~~~~~

On va désinstaller tout ce qu'on a installé :

Depuis ajout/suppression de programmes, désinstalle Hijackthis
Supprime ce dossier C:\Program Files\Trend Micro\HijackThis

Asssure toi d'être connecté à internet

  • Lance OtmoveIt
  • Clique sur CleanUp
  • Une liste va apparaitre
  • Si ton parefeu ou un de tes logiciels de sécurité tente de bloquer OTMoveIt, laisse OTMoveIt s'exécuter
  • Clique sur Yes
[*] Il te sera peut être demandé de redémarrer, accepte.


Vérifie que ces dossiers ne sont plus présents
C:\OTMoveIt
C:\Qoobox
C:\RSIT
C:\SDFix

Supprime tous les programmes d'installation encore présents sur ton bureau ainsi que les rapports de scan.

~~~~~~~~~~~~

Si tu ne constates aucun problème, désactive ta restauration du système, puis réactive là comme expliqué ici

Crée un nouveau point de restauration comme expliqué ici

~~~~~~~~~~~~

Quelques conseils :

Concernant ATF cleaner, c'est un logiciel qui supprime les fichiers temporaires, à toi de voir si tu souhaites le conserver (mais je te conseille d'en avoir un, soit ATF cleaner http://www.bibou0007.com/nettoyeurs-et-optimiseurs-f79/atf-cleaner-t1679.htm
soit CCleaner http://www.bibou0007.com/nettoyeurs-et-optimiseurs-f79/tutorial-ccleaner-t362.htm

Malwarebytes est un très bon antispyware, je te conseille de le conserver et de l'utiliser régulièrement en mode sans échec et après l'avoir mis à jour.

Aujourd'hui, les éditeurs de logiciels de sécurité payants réalisent des "tout en un" c'est à dire un logiciel qui fait à la fois Antivirus/antispyware/parefeu.
Si tu souhaites opter pour une solution payante : regarde du côté de Kaspersky, AVG8, Antivir Premium ou Nod32.
Mais je suis de ceux qui pensent qu'on peut s'en sortir avec des logiciels gratuits (à partir du moment où on ne va pas sur les sites cochons, qu'on ne clique pas sur tout ce qui bouge et que nos logiciels sont à jour).

Côté logiciels gratuits, tu as actuellement Antivir (antivirus) Very Happy et Malwarebytes (antispyware) Very Happy il ne manquerait presque qu'un parefeu (Comodo, Sunbelt, etc.)
Je t'invite à regarder ce lien
>>> http://www.bibou0007.com/aide-a-la-desinfection-f8/configuration-conseillee-par-toute-l-equipe-t223.htm

Assure toi que tes logiciels sont à jour pour éviter les problèmes de failles de sécurité.
PSI de Secunia disponible ici te permet de tenir tes logiciels à jour.


J'ai vu que tu avais des logiciels de peer to peer (Emule, etc), sache que c'est l'une des plus importantes source d'infection => à éviter.



Si tu as d'autres questions, n'hésite pas Wink

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 18 Sep 2008 - 22:56

Bonsoir

bon ben tout c'est bien passé, j' ai desinstallé tout ce que tu as demandé et installé CCcleaner. Je conserve Malware et Antivir, suis comme toi je préfère utiliser des logiciels gratuits. Mon problème est qu' avec 2 ados téléchargeurs, fans de msn et qui furetent partout pas facile d avoir une machine safe.
Trop tard pour ce soir, demain je ferais le point de restauration, te tiendrais informé de la finalité. a quelle fréquence tu passerais CCcleaner et malwayre pour un pc utilisé 3 à 4 h au quotidien ?
En tout cas merci pour tout.
Amts
Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)


Masculin
Nombre de messages : 6874
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 18 Sep 2008 - 23:36

Bonsoir Gruik63 Smile

Super Cool
Ccleaner : le nettoyage des fichiers temporaires, une fois par semaine, ce serait pas mal et c'est rapide.
Malwarebytes : avec "2 ados téléchargeurs, fans de msn et qui furetent partout" 1 fois toutes les 2 semaines serait bien.

Bonne soirée

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 20 Sep 2008 - 11:04

Bonjour

concernant la restauration du système, j ai une fois lancee la restauration comme indiquée dal le mode opératoire un affichage dans propiétés système paramètres lecteur, état = exécution si je l' arrête cela me met surveillance.
le temps d' exécution tourne maintenant depuis 15 mns est ce normal quelle est la marche à suivre
d avance merci

gruik63
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 53
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Sam 20 Sep 2008 - 15:59

Hello

après 3 h de restauration système toujours la même indication dans la fenêtre restauration système : état = exécution, ai donc arrêter la restauration du système état = surveillance.
Ai créé un point de restauration mais je ne sais pas si tout est correct.
merci d'eclairer mon inculte lanterne

Cdlt
Gruik63
Revenir en haut Aller en bas
Contenu sponsorisé




MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   

Revenir en haut Aller en bas
 
Infection par virus win32: Fraud Tool - GI [Tool]
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 2 sur 2Aller à la page : Précédent  1, 2
 Sujets similaires
-
» Infection par virus win32: Fraud Tool - GI [Tool]
» Nouveau virus : Win32.Induc.A. Surveillez vos logiciels !
» [Résolu] Virus : Win32 - Jeefo
» [Résolu] Rootkit : win32-rootkit-gen
» Infection de virus sur mon ordinateur

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Aide à la désinfection :: Sujets résolus ou anciens
-
Sauter vers: