Bonjour, Je suis nouveau sur le forum et j'ai un petit probleme , j'ai je crois un spyware qui me met mon ecran en bleu avec un message comme quoi je suis infecté et a chaque fois que je demare mon ordi ça me met un faux logiciel du genre antispyware 2010 . Quand j'essaye d'utiliser des logiciels pour le suprrimer du genre Malwarebyte's anti-malware il ne s'ouvre pas. Donc je me suis renseigner sur plusieurs forums et apres avoir utiliser le programme Smitraudfix , le virus et toujours la. Svp j'ai vraiment besoin d'aide et dsl si un post comme celui-ci existe deja.

Voici le premier resultat de Smitfraudfix ci ça peut aider :
SmitFraudFix v2.424

Rapport fait à 16:07:04,32, 26/09/2010
Executé à partir de C:\Documents and Settings\sacha\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\sacha\Mes documents\Avira\Avira\AntiVir Desktop\sched.exe
C:\Documents and Settings\sacha\Mes documents\Avira\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Documents and Settings\sacha\Mes documents\Avira\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sacha


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\sacha\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sacha\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\sacha\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: IEEE 802.11g Wireless Cardbus/PCI Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0BD387C4-7450-4C51-A45C-9BFDC83C2902}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0BD387C4-7450-4C51-A45C-9BFDC83C2902}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et voila le deuxieme :
SmitFraudFix v2.424

Rapport fait à 16:12:08,46, 26/09/2010
Executé à partir de C:\Documents and Settings\sacha\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0BD387C4-7450-4C51-A45C-9BFDC83C2902}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0BD387C4-7450-4C51-A45C-9BFDC83C2902}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonjour

Télécharge rkill de Grinler depuis, au choix:
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/gr ... plorer.exe
http://download.bleepingcomputer.com/gr ... xplore.exe
Désactive ton antivirus

Lance l'outil, il ne nécessite pas d'installation.
En cas d'échec essaie une autre extension et en mode sans échec.

Poste le rapport C:\rkill.log
Réactive ton antivirus

Refais un scan avec Malwarebytes.

@+

Est-ce normal que ça m'affiche ça :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as sacha on 27/09/2010 at 18:45:01.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\sacha\Bureau\rkill.com


Rkill completed on 27/09/2010 at 18:45:03.

??

Bonsoir,
C'est OK il n'a rien trouvé.
Fais le scan MBAM et poste le rapport
@+

Je ne peux pas il ne veut pas l'ouvrir, il y a marqué " Windows ne parvient pas à acceder au péripheriquen au chemin d'acces ou au fichier spécifié. Vous ne disposez peut etre pas des autorisations appropriées pour avoir accès à l'élément. " Et cest comme ça avec tout les fichiers du meme style du genre spybot ou HijackThis

Bonsoir,
Au démarrage de ton pc dès que tu arrives sur le bureau tu fais Alt+Ctrl+Suppr
Cela va ouvrir le gestionnaire des tâches.
Essaie de faire une copie d'écran de ce qui est dans l'onglet Processus
Et tu l'envoies ici.
@+

Okay j'envoi ça , et merci beaucoup de m'aider

J'ai fais aussi un nouveau test avec Rkill et voila ce que ça me donne :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as sacha on 28/09/2010 at 19:00:23.


Services Stopped:


Processes terminated by Rkill or while it was running:


\\.\globalroot\Device\svchost.exe\svchost.exe


Rkill completed on 28/09/2010 at 19:00:34.

Voila pour le l'image du processus au demarage

Bonjour,
Nous allons pratiquer différemment.
Télécharge RunScanner.exe

Clique sur Start download
Tu cliques sur RunScanner.exe, il ne nécessite pas d'installation.
Laisse sur Expert Mode dans le premier popup.
Dans la fenêtre tu cliques sur "Scan computer" en haut à gauche.
Laisse faire l'outil.
Il y a une barre de progression.
Une fois le rapport affiché, tu cliques sur "Online analysis"
Dans la page qui s'ouvre tu cliques sur "Show report" .
Dans la page du navigateur tu copies l'adresse affichée dans la barre de navigation.
Et tu postes celle-ci dans ta réponse.

Refais un scan avec Malwarebytes et ton antivirus mis à jour.

@+

J'ai téléchargé Runscaner mais pendant le scan , cela s'est arrété et maintenant ça me met le même message comme quoi je ne peux pas l'ouvrir ... :/

Bonjour,
Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

Double-clique sur le fichier mbam-setup-1.46.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées

-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware

Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Exécuter un examen rapide, clique sur le bouton

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

En cas d'échec, essaie en mode sans échec avec prise en charge réseau.
@+

J'ai fais ce que tu m'a dis , mais que ce soit en mode normal ou sans echec le virus ferme le scan au bout de 4secondes ... Il est vraiment chiant

Bonsoir
Il ne s'agit pas de Security Tools parfois ?
Dans ton premier message tu parles de antispyware 2010.
@+

Non enfaite c'est Antivirus 2010 qui s'ouvre et le fond d'écran est bleu avec un carré noir avec marqué en rouge en anglais comme quoi je suis infecté par un spyware

Bonjour,
As-tu un dossier : C:\Program Files\AV2010
Si oui renomme le fichier AV2010.exe en ajoutant .OLD à la fin.
(C:\Program Files\AV2010\AV2010.exe.OLD)
Redémarre l'ordinateur.
Refais le scan avec Malwarebytes.
@+

Non malheureusement je n'ai pas ce dossier ...

Bonsoir
Je suis étonné car MBAM shoote très bien le rogue normalement.
Essaie de renommer MBAM.exe en swazzyy.com
Lance-le pour voir.
@+

Je ne peux pas le renommer, une fenêtre s'ouvre avec ecris : " Impossible de renommer mbam: Accès refusé.
Vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement. "