[virus] http://ipassist.biz/index.php?id=186 Fermé

Question

Bonjour,En surfant sur un site, je me suis fait infecté par un virus plutot costaud, et ni adaware, ni spybot, ni les sites de scan en ligne ne l'on éradiqué...Il a même bousillé mon norton....Il modifie certains de mes executables, affiche ce site a chaque fois que j'ouvre une page web " http://ipassist.biz/index.php?id=186" ,modifie l'affichage de certaines pages sur le web et rend a connection internet très instables.Voici le log de HijackThis:Logfile of HijackThis v1.99.1Scan saved at 12:11:50, on 08/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\WINDOWS\system32\spoolsv.exeD:\Program Files\D-Tools2\daemon.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SVCHOST.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\CxtPls\CxtPls.exeC:\WINDOWS\system32
?tdde.exeD:\Dev-Cpp\devcpp.exeC:\Program Files\WinRAR\WinRAR.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\DOCUME~2\LYRICA~1\LOCALS~1\Temp\Rar$EX33.594\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=186R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.phpR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.phpR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.phpR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad/wpad.batR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O1 - Hosts: 127.0.0.3 n-glx.s-redirect.comO1 - Hosts: 127.0.0.3 x.full-tgp.netO1 - Hosts: 127.0.0.3 counter.sexmaniack.comO1 - Hosts: 127.0.0.3 autoescrowpay.comO1 - Hosts: 127.0.0.3 www.autoescrowpay.comO1 - Hosts: 127.0.0.3 www.awmdabest.comO1 - Hosts: 127.0.0.3 www.sexfiles.nuO1 - Hosts: 127.0.0.3 awmdabest.comO1 - Hosts: 127.0.0.3 sexfiles.nuO1 - Hosts: 127.0.0.3 allforadult.comO1 - Hosts: 127.0.0.3 www.allforadult.comO1 - Hosts: 127.0.0.3 www.iframe.bizO1 - Hosts: 127.0.0.3 iframe.bizO1 - Hosts: 127.0.0.3 www.newiframe.bizO1 - Hosts: 127.0.0.3 newiframe.bizO1 - Hosts: 127.0.0.3 www.vesbiz.bizO1 - Hosts: 127.0.0.3 vesbiz.bizO1 - Hosts: 127.0.0.3 www.pizdato.bizO1 - Hosts: 127.0.0.3 pizdato.bizO1 - Hosts: 127.0.0.3 www.aaasexypics.comO1 - Hosts: 127.0.0.3 aaasexypics.comO1 - Hosts: 127.0.0.3 www.virgin-tgp.netO1 - Hosts: 127.0.0.3 virgin-tgp.netO1 - Hosts: 127.0.0.3 www.awmcash.bizO1 - Hosts: 127.0.0.3 awmcash.bizO1 - Hosts: 127.0.0.3 buldog-stats.comO1 - Hosts: 127.0.0.3 www.buldog-stats.comO1 - Hosts: 127.0.0.3 fregat.drocherway.comO1 - Hosts: 127.0.0.3 slutmania.bizO1 - Hosts: 127.0.0.3 www.slutmania.bizO1 - Hosts: 127.0.0.3 toolbarpartner.comO1 - Hosts: 127.0.0.3 www.toolbarpartner.comO1 - Hosts: 127.0.0.3 www.megapornix.comO1 - Hosts: 127.0.0.3 megapornix.comO1 - Hosts: 127.0.0.3 www.sp2fucked.bizO1 - Hosts: 127.0.0.3 sp2fucked.bizO1 - Hosts: 127.0.0.3 greg-tut.comO1 - Hosts: 127.0.0.3 www.greg-tut.comO1 - Hosts: 127.0.0.3 nylonsexy.comO1 - Hosts: 127.0.0.3 www.nylonsexy.comO1 - Hosts: 127.0.0.3 vparivalka.comO1 - Hosts: 127.0.0.3 www.vparivalka.comO1 - Hosts: 127.0.0.3 iframeprofit.comO1 - Hosts: 127.0.0.3 www.iframeprofit.comO1 - Hosts: 127.0.0.3 topsearch10.comO1 - Hosts: 127.0.0.3 www.topsearch10.comO1 - Hosts: 127.0.0.3 statscash.bizO1 - Hosts: 127.0.0.3 www.statscash.bizO1 - Hosts: 127.0.0.3 vxiframe.bizO1 - Hosts: 127.0.0.3 www.vxiframe.bizO1 - Hosts: 127.0.0.3 crazy-toolbar.comO1 - Hosts: 127.0.0.3 www.crazy-toolbar.comO1 - Hosts: 127.0.0.3 topcash.bizO1 - Hosts: 127.0.0.3 www.topcash.bizO1 - Hosts: 127.0.0.3 loadcash.bizO1 - Hosts: 127.0.0.3 www.loadcash.bizO2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dllO2 - BHO: (no name) - {34ACA9AF-6D46-6E9C-3D82-6B8379BEFFEF} - C:\WINDOWS\System32\cjmp.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools2\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SVCHOST.EXEO4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exeO4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SECURITY.EXEO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htmO9 - Extra button: Microsoft AntiSpyware helper - {59E5EA32-004F-4112-89F2-FF878C01DF1E} - (no file) (HKCU)O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {59E5EA32-004F-4112-89F2-FF878C01DF1E} - (no file) (HKCU)O15 - Trusted Zone: *.searchmiracle.comO15 - Trusted Zone: *.skoobidoo.comO15 - Trusted Zone: *.slotchbar.comO15 - Trusted Zone: *.windupdates.comO15 - Trusted Zone: *.ysbweb.comO15 - Trusted Zone: *.searchmiracle.com (HKLM)O15 - Trusted Zone: *.skoobidoo.com (HKLM)O15 - Trusted Zone: *.slotchbar.com (HKLM)O15 - Trusted Zone: *.windupdates.com (HKLM)O15 - Trusted Zone: *.ysbweb.com (HKLM)O15 - Trusted IP range: 81.222.131.59O15 - Trusted IP range: 81.222.131.59 (HKLM)O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14473b9a5b52b9ab0205/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115473637984O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dllO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeMerci a tous ceux qui auront la patience de lire ce log et qui pourront m'aider =)

balltrap34 · Answer

salutpour que tous fonctionne desactive le the timer de spy bot tu le remettrat apresimprime ceci pour ne rien oublier et tous fairetous faire dans l ordre imperativement-------------------------tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encoreadaware (1)spyboot (2)       (ici)               http://www.florensac-chasse-trap.com/   section viruset aussi ceciCleanUp312.exe (3)et aussi cecihttp://mvps.org/winhelp2002/DelDomains.infa utiliser plus tard----------------demarre en mode sans echecmode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5------------------------- desactive ta restauration systeme pour ça tu fais clic droit sur poste de travail propriété tu clique sur onglet restauration système tu coche la case désactiver la restauration et applique ------------ assure toi de ceci Affiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer ----------------------vide tes fichiers temps et tempory internet file sur tous les utilisateur utilise ceci pour le faire http://pageperso.aol.fr/Balltrap34/CleanUp312.exe   --------------------relance hijack coche ces lignes et  ensuite clik sur fixR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=186 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad/wpad.bat R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O1 - Hosts: 127.0.0.3 www.awmcash.biz O1 - Hosts: 127.0.0.3 awmcash.biz O1 - Hosts: 127.0.0.3 buldog-stats.com O1 - Hosts: 127.0.0.3 www.buldog-stats.com O1 - Hosts: 127.0.0.3 fregat.drocherway.com O1 - Hosts: 127.0.0.3 slutmania.biz O1 - Hosts: 127.0.0.3 www.slutmania.biz O1 - Hosts: 127.0.0.3 toolbarpartner.com O1 - Hosts: 127.0.0.3 www.toolbarpartner.com O1 - Hosts: 127.0.0.3 www.megapornix.com O1 - Hosts: 127.0.0.3 megapornix.com O1 - Hosts: 127.0.0.3 www.sp2fucked.biz O1 - Hosts: 127.0.0.3 sp2fucked.biz O1 - Hosts: 127.0.0.3 greg-tut.com O1 - Hosts: 127.0.0.3 www.greg-tut.com O1 - Hosts: 127.0.0.3 nylonsexy.com O1 - Hosts: 127.0.0.3 www.nylonsexy.com O1 - Hosts: 127.0.0.3 vparivalka.com O1 - Hosts: 127.0.0.3 www.vparivalka.com O1 - Hosts: 127.0.0.3 iframeprofit.com O1 - Hosts: 127.0.0.3 www.iframeprofit.com O1 - Hosts: 127.0.0.3 topsearch10.com O1 - Hosts: 127.0.0.3 www.topsearch10.com O1 - Hosts: 127.0.0.3 statscash.biz O1 - Hosts: 127.0.0.3 www.statscash.biz O1 - Hosts: 127.0.0.3 vxiframe.biz O1 - Hosts: 127.0.0.3 www.vxiframe.biz O1 - Hosts: 127.0.0.3 crazy-toolbar.com O1 - Hosts: 127.0.0.3 www.crazy-toolbar.com O1 - Hosts: 127.0.0.3 topcash.biz O1 - Hosts: 127.0.0.3 www.topcash.biz O1 - Hosts: 127.0.0.3 loadcash.biz O1 - Hosts: 127.0.0.3 www.loadcash.biz O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll O2 - BHO: (no name) - {34ACA9AF-6D46-6E9C-3D82-6B8379BEFFEF} - C:\WINDOWS\System32\cjmp.dll O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SVCHOST.EXE O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SECURITY.EXE O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 81.222.131.59 O15 - Trusted IP range: 81.222.131.59 (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14473b9a5b52b9ab0205/netzip/RdxIE601_fr.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115473637984 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll ----------------------recherche et suppr ceciattention seulement les fichiers C:\Program Files\CxtPls\cxtpls.dll  C:\WINDOWS\System32\cjmp.dll C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SECURITY.EXE C:\WINDOWS\System32\Services\{EB78E08E-1C31-414C-A735-4009311A09C6}\SVCHOST.EXE ---------------utilise http://mvps.org/winhelp2002/DelDomains.inftu fait clik droit dessus et executercela devrait remettre comme il faut la zone de securite---------------passe  adaware et vire tous se qu il trouve    ---------- passe spy boot et vire tous se qu il trouvent-------------tu vide ta poubelle et tu redemarre en mode normal et refait un hijack et precise ou en sont tes soucis--

moe · Answer

salut balltrap, steveil peut rajouter celle là aussiO4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

balltrap34 · Answer

salut moeet oui je dort se matin lol je suis rentre tard

moe · Answer

salut balltrapLes lendemains de fete, c'est toujours comme ca lol

steve · Answer

ca remarche au poil, merci a tous =)

balltrap34 · Answer

de riena++

[virus] http://ipassist.biz/index.php?id=186

6 réponses

Discussions similaires