Message récurrent bizarre

Le
Mernel
Bonjour à tous,
Suis sous XP+SP2. Défendu par SpyBot et AdAware et Avast. Rien n'est
signalé. Par contre apparaît toujours dans ma barre de lancement rapide
à côté de l'horloge alternativement un "?" et un cercle bleu avec un X
jaune au milieu clignotant et un message attaché :
"Critical system Errors - System detected virus activities. They may
cause critical system failure. Please use anti spyware to clean and
protect your system from parasite programs. Click this baloon to get all
available software."
Ce message reste apparent 15 secondes et revient régulièrement toutes
les 5 minutes.
En cliquant dessus, on arrive à une page internet :
"www.virusbursters.com" que Avast me décrit comme attaque virale et me
déconnecte !
Que se passe-t-il ? Est-ce grave docteur ?
Merci de vos réponses avisées.
Mernel
Vos réponses
Trier par : date / pertinence
JAB
Le #1324115
Bonjour,
pas facile celui la mais on en vient à bout avec un peu de patience.
1; téléchargez Smitfraud à cette adresse
http://telechargement.zebulon.fr/259-smitfraudfix.html
2; désactiver la restauration système.
3; mettre tous ses antispyware à jour.
4; mettre son antivirus à jour.
5; redémarrer en mode sans échec.
6; Dézipper l'archive et lancer smitfraudfix.cmd en choisissant l'option 1
vous ne faites que rechercher si vous êtes infectés, et la deuxième option
nettoie votre ordinateur.
7; passer un coup de l'antivirus ainsi que que des antispyware et le tout
devrais bien fonctionné au redémarrage.
Si tout va bien remettre la restauration système.

Bonne chance

--
Jacques-André Brunet
http://jabrunet.mvps.org/main5.html

Rien n'est parfait, et moi encore moins!!!
Nichts ist vollkommen, und mich noch weniger !!!
Nothing is perfect, and me even less !!!
Niente è perfetto, e me di meno !!!
Nada é perfeito, e eu menos ainda !!!
Niets is volmaakt, en ik nog minder !!!
"Mernel" 4551a752$0$23758$
Bonjour à tous,
Suis sous XP+SP2. Défendu par SpyBot et AdAware et Avast. Rien n'est
signalé. Par contre apparaît toujours dans ma barre de lancement rapide à
côté de l'horloge alternativement un "?" et un cercle bleu avec un X jaune
au milieu clignotant et un message attaché :
"Critical system Errors - System detected virus activities. They may cause
critical system failure. Please use anti spyware to clean and protect your
system from parasite programs. Click this baloon to get all
available software."
Ce message reste apparent 15 secondes et revient régulièrement toutes les
5 minutes.
En cliquant dessus, on arrive à une page internet :
"www.virusbursters.com" que Avast me décrit comme attaque virale et me
déconnecte !
Que se passe-t-il ? Est-ce grave docteur ?
Merci de vos réponses avisées.
Mernel


Mernel
Le #1324072
En ce mercredi 08/11/2006, jour de la Saint Geoffroy, l'honorable Mernel
dit à ses disciples:

En cliquant dessus, on arrive à une page internet :
"www.virusbursters.com" que Avast me décrit comme attaque virale et me
déconnecte !


Normal, c'est un nid de spywares. Et tu es contaminé :-/
Passe un coup de Hijackthis et poste le résultat ici, on va essayer de
t'aider.



C'est fait. Voici le résultat :

Logfile of HijackThis v1.99.1
Scan saved at 11:04:29, on 09/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAheadInCDInCDsrv.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAlwil SoftwareAvast4.7.817aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashServ.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashWebSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesIntelModem Event MonitorIntelMEM.exe
C:Program FilesDellMedia ExperienceDMXLauncher.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:PROGRA~1ALWILS~1AVAST4~1.817ashDisp.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:DOCUME~1MarcLOCALS~1TempRépertoire temporaire 1 pour
hijackthis.zipHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title =
Mozilla Firefox
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -
C:WINDOWSsystem32dlatfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.5.0_08binssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7}
- c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog
DevicesCoresmax4pnp.exe
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [IntelMeM] C:Program FilesIntelModem Event
MonitorIntelMEM.exe
O4 - HKLM..Run: [UpdateManager] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DMXLauncher] C:Program FilesDellMedia
ExperienceDMXLauncher.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1AVAST4~1.817ashDisp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~4Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_08binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_08binssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
(no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} -
C:WINDOWSsystem32okkmtv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4.7.817aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner -
C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4.7.817ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program
FilesAlwil SoftwareAvast4.7.817ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program
FilesAlwil SoftwareAvast4.7.817ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:Program
FilesAheadInCDInCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman
Kodak Company - C:WINDOWSsystem32driversKodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:WINDOWSsystem32LEXBCES.EXE

Merci de me donner la marche à suivre.
Mernel


Mernel
Le #1324066
Bonjour,
pas facile celui la mais on en vient à bout avec un peu de patience.
1; téléchargez Smitfraud à cette adresse
http://telechargement.zebulon.fr/259-smitfraudfix.html
2; désactiver la restauration système.
3; mettre tous ses antispyware à jour.
4; mettre son antivirus à jour.
5; redémarrer en mode sans échec.
6; Dézipper l'archive et lancer smitfraudfix.cmd en choisissant l'option 1
vous ne faites que rechercher si vous êtes infectés, et la deuxième option
nettoie votre ordinateur.
7; passer un coup de l'antivirus ainsi que que des antispyware et le tout
devrais bien fonctionné au redémarrage.
Si tout va bien remettre la restauration système.

Bonne chance



Merci. Fait.
Résultat bon : la mention litigieuse n'apparait plus.
NB : je m'aperçois que j'avais oublié d'enlever la restauration système
comme demandé. Est-ce un pb ?
Mernel

Mernel
Le #1323740
En ce jeudi où nous fêtons Saint Théodore, Mernel vient de nous énoncer:

NB : je m'aperçois que j'avais oublié d'enlever la restauration
système comme demandé. Est-ce un pb ?


Oui, je crains que tu ne sois obligé de recommancer... cette vérole est
ultra-résistante et capable de se régénérer. Si les symptômes
réapparraissent, recommencer la procédure sans oublier de désactiver la
restau système. Tu peux de toute façon la désactiver / réactiver dés
maintenant: les points de restau stockés sont de toute façon vérolés aussi.



OK. ai refait scan HijackThis 1.99.1 en ayant préalablement désactiver
la restauration.
J'ai déjà fixer les lignes indiquées 03, 09, les 3 16 et 021 qui
d'ailleurs n'apparaissent plus.

Voici le nouveau résultat :


Logfile of HijackThis v1.99.1
Scan saved at 17:31:44, on 09/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAheadInCDInCDsrv.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAlwil SoftwareAvast4.7.817aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashServ.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4.7.817ashWebSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesIntelModem Event MonitorIntelMEM.exe
C:Program FilesDellMedia ExperienceDMXLauncher.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:PROGRA~1ALWILS~1AVAST4~1.817ashDisp.exe
C:WINDOWSsystem32lexpps.exe
C:Program FilesHijackthis Version FrançaiseVERSION TRADUITE ORIGINALE.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Mozilla Firefox
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:WINDOWSsystem32dlatfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_08binssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCoresmax4pnp.exe
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [IntelMeM] C:Program FilesIntelModem Event MonitorIntelMEM.exe
O4 - HKLM..Run: [UpdateManager] "C:Program FilesFichiers communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DMXLauncher] C:Program FilesDellMedia ExperienceDMXLauncher.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1AVAST4~1.817ashDisp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~4Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_08binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_08binssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4.7.817aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4.7.817ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4.7.817ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4.7.817ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:Program FilesAheadInCDInCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:WINDOWSsystem32driversKodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE



Merci pour les éventuelles corrections.
Mernel


Mernel
Le #1323719
Bonjour à Mernel qui nous a écrit en ce jeudi 09/11/2006, où nous
fêtons Saint Théodore:

Merci pour les éventuelles corrections.


Ben là, je ne vois plus rien d'anormal.... :-/
As-tu repirs la procédure indiquée par JAB ? elle me parait tout à fait
conforme, mais à respecter à la lettre.
Si ton problème persiste, je donne ma langue au chat... :-(



Ok. bien noté qu'il n'y avait plus de cochonnerie.
Confirme que mon pb de mention dans barre horloge a disparu.
Merci pour tout.
Mernel


JPH
Le #1323659
Bonjour,
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/virus_win32zlobawtrj-396942/messages-1.html
cordialement

JPH
"Sniper"
Mernel a gravé sur son écran :

Merci de me donner la marche à suivre.



Tu peux déjà virer:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no
file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
(no file)
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} -
C:WINDOWSsystem32okkmtv.dll
Cocher les cases dans Hijackthis et cliquer sur Fix

Tu peux aussi effacer :
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
Ce sont des ActiveX de scan antivirus en ligne. Pas dangereux, mais
inutile de les garder: si tu retournes sur ces sites pour scanner ta
bécane, ils te renverront une version à jour. Options IE - rubrique
Historique- boutons Paramètres - afficher les objets - clic droit sur les
composants - Supprimer.

Si le Fix ne passe pas, il va falloir mettre les mains dans le camboui...
mode sans échec, etc...

--
Sniper

On ne dit pas une biroute, mais une route à deux voies.





Publicité
Poster une réponse
Anonyme