Sujet Précédent Sujet Suivant

[mkc001] Infection énorme de virus

`ixM Messages postés 4 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour à tous,
Je rencontre actuellement des problèmes de spyware, virus et autres atrocités provenant du web. J'ai plusieurs fois fais des analyses : Norton Antivirus 2004 (MaJ), Spybot (MaJ), Hijackthis (MaJ), Ad-Aware (MaJ) mais rien n'y fait j'ai toujours des problèmes de ping très élevés, ralentissement phénoménal du pc,...

Voici les logs :
Hijackthis : 
Logfile of HijackThis v1.99.0
Scan saved at 21:59:55, on 14/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\`ixM\LOCALS~1\Temp\Rar$EX00.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\okmyz.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [seticlient] C:\Program Files\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DesktopX] "C:\Program Files\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Log Spybot : 
Avenue A, Inc.: Cookie traceur (Internet Explorer: `ixM) (Cookie, nothing done)
  

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-2052111302-412668190-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3  ---
2004-11-29 Includes\Cookies.sbi
2005-01-27 Includes\Dialer.sbi
2005-01-27 Includes\Hijackers.sbi
2005-01-11 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2005-01-27 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2005-01-27 Includes\Spybots.sbi
2004-11-29 Includes\Tracks.uti
2005-01-27 Includes\Trojans.sbi


Log Ad-Aware 
ArchiveData(auto-quarantine- 2005-02-13 23-36-49.bckp)
Referencefile : SE1R27 05.02.2005
======================================================

WIN32.TROJANDOWNLOADER.AGENT.AL
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : C:\WINDOWS\ntqh.exe

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=Process : C:\WINDOWS\system32\msjd32.exe
obj[24]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "DisplayName"
obj[25]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "UninstallString"
obj[26]=RegValue : software\microsoft\windows\currentversion\uninstall\se "DisplayName"
obj[27]=RegValue : software\microsoft\windows\currentversion\uninstall\se "UninstallString"
obj[28]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "DisplayName"
obj[29]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "UninstallString"
obj[30]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[31]=RegValue : software\microsoft "set"
obj[32]=RegValue : software\microsoft\windows\currentversion\internet settings\zonemap\ranges\range1 ":Range"
obj[33]=Regkey : clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
obj[58]=Regkey : software\microsoft\windows\currentversion\uninstall\sw
obj[59]=Regkey : software\microsoft\windows\currentversion\uninstall\se
obj[60]=Regkey : software\microsoft\windows\currentversion\uninstall\hsa
obj[67]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003731.dll
obj[68]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003732.dll
obj[69]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003736.dll
obj[70]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP39\A0003798.dll
obj[71]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP61\A0004745.dll
obj[72]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP63\A0004832.dll
obj[73]=File : C:\WINDOWS\beogg.txt
obj[74]=File : C:\WINDOWS\isbfu.txt
obj[75]=File : C:\WINDOWS\kxylf.dat
obj[76]=File : C:\WINDOWS\myrrc.txt
obj[77]=File : C:\WINDOWS\oibyc.txt
obj[78]=File : C:\WINDOWS\paqza.log
obj[79]=File : C:\WINDOWS\qjwgk.txt
obj[80]=File : C:\WINDOWS\system32\enjjv.txt
obj[81]=File : C:\WINDOWS\system32\ppmus.dat
obj[82]=File : C:\WINDOWS\system32\vqjwt.dat
obj[83]=File : C:\WINDOWS\system32\yilsi.txt
obj[84]=File : C:\WINDOWS\vpjti.log

TIB BROWSER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Process : C:\WINDOWS\System32\tibs3.exe
obj[23]=RegValue : Software\Microsoft\Windows\CurrentVersion\Run "tibs3"
obj[34]=Regkey : S-1-5-21-2052111302-412668190-682003330-1004\software\websiteviewer
obj[61]=Regkey : software\websiteviewer
obj[62]=File : c:\windows\system32\tibs3.exe

CLARIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=Folder : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\..\GAIN Publishing
obj[63]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP16\A0002871.exe
obj[64]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP32\A0003310.exe
obj[86]=File : C:\WINDOWS\GatorPatch.log

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=IECache Entry : Cookie:`ixm@xxxcounter.com/
obj[5]=IECache Entry : Cookie:`ixm@as1.falkag.de/
obj[6]=IECache Entry : Cookie:`ixm@atdmt.com/
obj[7]=IECache Entry : Cookie:`ixm@metriweb.be/

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[8]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com "*"
obj[9]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com "*"
obj[10]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com "*"
obj[11]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com "*"
obj[12]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com "*"
obj[13]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com "*"
obj[14]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net "*"
obj[15]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com "*"
obj[16]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info "*"
obj[17]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com "*"
obj[18]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com "*"
obj[19]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} "SystemComponent"
obj[20]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} "Installer"
obj[21]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C} "SystemComponent"
obj[22]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C} "Installer"
obj[35]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[36]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[37]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[38]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[39]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[40]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[41]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[42]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[43]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[44]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[45]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[46]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[47]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[48]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[49]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[50]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[51]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
obj[52]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[53]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[54]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[55]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[56]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE}
obj[57]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C}
obj[85]=File : C:\Documents and Settings\`ixM\Favoris\Seven days of free porn.url

LOP
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[65]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003724.exe
obj[66]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003730.exe

OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[87]=File : C:\WINDOWS\prefetch\TIBS3.EXE-215DEB55.pf

ArchiveData(auto-quarantine- 2005-02-13 23-50-47.bckp)
Referencefile : SE1R27 05.02.2005
======================================================

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
obj[45]=Regkey : software\microsoft\windows\currentversion\uninstall\sw
obj[46]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "DisplayName"
obj[47]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "UninstallString"
obj[48]=Regkey : software\microsoft\windows\currentversion\uninstall\se
obj[49]=RegValue : software\microsoft\windows\currentversion\uninstall\se "DisplayName"
obj[50]=RegValue : software\microsoft\windows\currentversion\uninstall\se "UninstallString"
obj[51]=Regkey : software\microsoft\windows\currentversion\uninstall\hsa
obj[52]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "DisplayName"
obj[53]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "UninstallString"
obj[54]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[55]=RegValue : software\microsoft "set"
obj[56]=RegValue : software\microsoft\windows\currentversion\internet settings\zonemap\ranges\range1 ":Range"
obj[64]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003731.dll
obj[65]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003732.dll
obj[66]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003736.dll
obj[67]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP39\A0003798.dll
obj[68]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP61\A0004745.dll
obj[69]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP63\A0004832.dll
obj[70]=File : C:\WINDOWS\beogg.txt
obj[71]=File : C:\WINDOWS\isbfu.txt
obj[72]=File : C:\WINDOWS\kxylf.dat
obj[73]=File : C:\WINDOWS\myrrc.txt
obj[74]=File : C:\WINDOWS\oibyc.txt
obj[75]=File : C:\WINDOWS\paqza.log
obj[76]=File : C:\WINDOWS\qjwgk.txt
obj[77]=File : C:\WINDOWS\system32\enjjv.txt
obj[78]=File : C:\WINDOWS\system32\ppmus.dat
obj[79]=File : C:\WINDOWS\system32\vqjwt.dat
obj[80]=File : C:\WINDOWS\system32\yilsi.txt
obj[81]=File : C:\WINDOWS\vpjti.log

TIB BROWSER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=Regkey : S-1-5-21-2052111302-412668190-682003330-1004\software\websiteviewer
obj[40]=RegValue : Software\Microsoft\Windows\CurrentVersion\Run "tibs3"
obj[57]=Regkey : software\websiteviewer
obj[59]=File : c:\windows\system32\tibs3.exe

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[3]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com "*"
obj[4]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[5]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com "*"
obj[6]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[7]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com "*"
obj[8]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[9]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com "*"
obj[10]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[11]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com "*"
obj[12]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[13]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com "*"
obj[14]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[15]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net "*"
obj[16]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[17]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com "*"
obj[18]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[19]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info "*"
obj[20]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[21]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com "*"
obj[22]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[23]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[24]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[25]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[26]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[27]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[28]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
obj[29]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com "*"
obj[30]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[31]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[32]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[33]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[34]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE}
obj[35]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} "SystemComponent"
obj[36]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} "Installer"
obj[37]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C}
obj[38]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C} "SystemComponent"
obj[39]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{79849612-A98F-45B8-95E9-4D13C7B6B35C} "Installer"
obj[82]=File : C:\Documents and Settings\`ixM\Favoris\Seven days of free porn.url

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[41]=IECache Entry : C:\Documents and Settings\`ixM\Cookies\`ixm@as1.falkag[2].txt
obj[42]=IECache Entry : C:\Documents and Settings\`ixM\Cookies\`ixm@atdmt[1].txt
obj[43]=IECache Entry : C:\Documents and Settings\`ixM\Cookies\`ixm@metriweb[1].txt
obj[44]=IECache Entry : C:\Documents and Settings\`ixM\Cookies\`ixm@xxxcounter[1].txt

CLARIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[58]=Folder : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\..\GAIN Publishing
obj[60]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP16\A0002871.exe
obj[61]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP32\A0003310.exe
obj[83]=File : C:\WINDOWS\GatorPatch.log

LOP
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[62]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003724.exe
obj[63]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP37\A0003730.exe

OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[84]=File : C:\WINDOWS\prefetch\TIBS3.EXE-215DEB55.pf

ArchiveData(auto-quarantine- 2005-02-14 19-48-22.bckp)
Referencefile : SE1R27 05.02.2005
======================================================

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
obj[71]=Regkey : software\microsoft\windows\currentversion\uninstall\sw
obj[72]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "DisplayName"
obj[73]=RegValue : software\microsoft\windows\currentversion\uninstall\sw "UninstallString"
obj[74]=Regkey : software\microsoft\windows\currentversion\uninstall\se
obj[75]=RegValue : software\microsoft\windows\currentversion\uninstall\se "DisplayName"
obj[76]=RegValue : software\microsoft\windows\currentversion\uninstall\se "UninstallString"
obj[77]=Regkey : software\microsoft\windows\currentversion\uninstall\hsa
obj[78]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "DisplayName"
obj[79]=RegValue : software\microsoft\windows\currentversion\uninstall\hsa "UninstallString"
obj[80]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[81]=RegValue : software\microsoft "set"
obj[82]=RegValue : software\microsoft\windows\currentversion\internet settings\zonemap\ranges\range1 ":Range"
obj[85]=File : C:\WINDOWS\illel.log
obj[86]=File : C:\WINDOWS\okmyz.dll
obj[87]=File : C:\WINDOWS\tmpoz.log

ISTBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=Regkey : S-1-5-21-2052111302-412668190-682003330-1004\software\ist
obj[2]=RegValue : S-1-5-21-2052111302-412668190-682003330-1004\software\ist "InstallDate"
obj[3]=RegValue : S-1-5-21-2052111302-412668190-682003330-1004\software\ist "account_id"
obj[4]=RegValue : S-1-5-21-2052111302-412668190-682003330-1004\software\ist "config"
obj[5]=RegValue : S-1-5-21-2052111302-412668190-682003330-1004\software\ist "Recover"
obj[6]=Regkey : software\istsvc
obj[7]=RegValue : software\istsvc "version"
obj[8]=RegValue : software\istsvc "app_name"
obj[9]=RegValue : software\istsvc "popup_url"
obj[10]=RegValue : software\istsvc "update_url"
obj[11]=RegValue : software\istsvc "config_url"
obj[12]=RegValue : software\istsvc "popup_initial_delay"
obj[13]=RegValue : software\istsvc "popup_count"
obj[14]=RegValue : software\istsvc "update_count"
obj[15]=RegValue : software\istsvc "update_version"
obj[16]=RegValue : software\istsvc "config_count"
obj[17]=RegValue : software\istsvc "account_id"
obj[18]=RegValue : software\istsvc "app_date"
obj[19]=RegValue : software\istsvc "popup_interval"
obj[20]=RegValue : software\istsvc "popup_last"
obj[21]=RegValue : software\istsvc "update_interval"
obj[22]=RegValue : software\istsvc "update_last"
obj[23]=RegValue : software\istsvc "config_interval"
obj[24]=RegValue : software\istsvc "config_last"
obj[25]=Regkey : software\microsoft\windows\currentversion\uninstall\istsvc
obj[26]=RegValue : software\microsoft\windows\currentversion\uninstall\istsvc "DisplayName"
obj[27]=RegValue : software\microsoft\windows\currentversion\uninstall\istsvc "UninstallString"
obj[28]=RegValue : software\microsoft\windows\currentversion\uninstall\istsvc "NoModify"
obj[29]=RegValue : software\microsoft\windows\currentversion\run "IST Service"
obj[83]=Folder : C:\Program Files\ISTsvc
obj[92]=File : C:\Program Files\istsvc\istsvc.exe

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[30]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[31]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com "*"
obj[32]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[33]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com "*"
obj[34]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[35]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com "*"
obj[36]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[37]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com "*"
obj[38]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[39]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com "*"
obj[40]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[41]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com "*"
obj[42]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
obj[43]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com "*"
obj[44]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[45]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net "*"
obj[46]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[47]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com "*"
obj[48]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[49]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info "*"
obj[50]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[51]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com "*"
obj[52]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\static.topconverting.com
obj[53]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\static.topconverting.com "*"
obj[54]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com
obj[55]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
obj[56]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\flingstone.com
obj[57]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchbarcash.com
obj[58]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
obj[59]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotch.com
obj[60]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
obj[61]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
obj[62]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mt-download.com
obj[63]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\my-internet.info
obj[64]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\scoobidoo.com
obj[65]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\static.topconverting.com
obj[89]=File : C:\Documents and Settings\`ixM\Favoris\Only sex website.url
obj[90]=File : C:\Documents and Settings\`ixM\Favoris\Search the web.url
obj[91]=File : C:\Documents and Settings\`ixM\Favoris\Seven days of free porn.url

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[66]=IECache Entry : Cookie:`ixm@xxxcounter.com/
obj[67]=IECache Entry : Cookie:`ixm@as1.falkag.de/
obj[68]=IECache Entry : Cookie:`ixm@atdmt.com/
obj[69]=IECache Entry : Cookie:`ixm@metriweb.be/
obj[70]=IECache Entry : Cookie:`ixm@xxxtoolbar.com/

TIB BROWSER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[84]=File : C:\System Volume Information\_restore{0355495E-A6C0-44A6-9BDA-09F9695E3F93}\RP73\A0009265.exe

RADS01.QUADROGRAM
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[88]=File : C:\WINDOWS\viavjhon.exe.$$$

OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[93]=File : C:\WINDOWS\prefetch\ISTSVC.EXE-1EE64A0C.pf


Par ailleurs dans l'analyse SpyBot, un objet vient de manière récurente : DSO Exploit...

Merci d'avance pour votre aide,
@micalement,
`ixM
A voir également:

9 réponses

Réponse 1 / 9
PurpleStorm Messages postés 3273 Statut Contributeur 857
 
Pour information :

http://www.commentcamarche.net/forum/affich-1291257-Virus-et-malwares-le-truc-pour-les-%E9liminer
0
Réponse 2 / 9
`ixM Messages postés 4 Statut Membre
 
Malheureusement les logs que je t'ai donné ont été fait en mode sans échec, j'ai appliqué toutes les étapes de ce post...
S'il avait suffit de ça pour l'enlever je n'aurai pas posté :)
Nouveau problème très sympathique, msn messenger refuse de se connecter...

Merci de votre aide,
@micalement,
`ixM
0
Réponse 3 / 9
`ixM Messages postés 4 Statut Membre
 
Désolé de faire un double post mais je ne trouve pas la fonction éditer :/

Je voulais ajouter 2 choses :
1° J'ai ces problèmes depuis que j'ai installé le SP2 de Microsoft (j'aurais mieux fait de me retenir :@)
2° Ce qui lag le plus en fait c'est steam (évidemment aussi) je passe de mon ping habituel (que j'ai encore environ 1 minute après le démarrage) à un ping de 300-600 :|

Merci de votre aide,
@micalement,
`ixM
0
Réponse 4 / 9
Teddy-Bear Messages postés 759 Statut Membre 91
 
Bonsoir,

Un peu d'organisation dans tes explication stp ........

Adaware....tu as scaner et supprimer ?
spybot ....scaner supprimer ?

Quand au Ping avec steam ...si tu veux l'ameliorer...une seule solution
....abattre toute tes defenses (a tes risques et perils !!!!!!!!)
Stop....anti virus
Stop....firewall Sp2
Stop antispyware SP2

Mais je te le redis ...A TES RISQUES ET PERILS
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
ensuite tu fait clik droit dessus et executer
cela devrait remettre comme il faut la zone de securite
http://mvps.org/winhelp2002/DelDomains.inf
------------
telecharge aussi ceci et met le a jour mais ne l utilise pas de suite
http://www.majorgeeks.com/download4289.html
-----------
demarre en mode sans echec
relance hijack
coche ces lignes et clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\okmyz.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------
recherche et vide le contenue du dossier prefetch sauf le fichier layout.ini
-----------
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer

vide tes fichiers temps et tempory internet file sur tous les utilisateur
cela se situe sur c:document and setting/local setting
-------------
lance le deuxieme prog que je t ai fait telecharger et que tu as deja mis a jour
passe le deux fois
------------
passe a nouveau adaware et vire tous se qu il trouve
----------
et en dernier fait ceci
demarrer /executer et tu tape cmd
la tu tape
regsvr32 /u C:\Windows\okmyz.dll
---------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack
0
Réponse 6 / 9
erwan01
 
Salut Balltrap et Teddy
pour msn messenger, voici la dernière de " Bill Boss Gates "
http://www.branchez-vous.com/actu/05-02/09-153902.html
au cas où certains posteraient de impossibilités de connexions avec msn ...
0
Réponse 7 / 9
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
merci erwan
0
Réponse 8 / 9
`ixM Messages postés 4 Statut Membre
 
Merci de vos prestes réponses,
j'essaie ça demain et je vous fait parvenir la suite des événements ;)

Merci,
@micalement,
`ixM
0
Réponse 9 / 9
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki
les autres prendront la suite because boulot
je part pour la bretagne retour en fin de semaine
a++
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses