infection spysheriff Fermé

Question

salut bon g un petit spysheriff ki trainevoici mon log :Logfile of HijackThis v1.99.1Scan saved at 16:40:38, on 22/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEF:\yannick
etoyage\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vymjrscbydxaifjpxwoq.org/Lfym5umWtWgennpUptTjntSg9vzTsYFt2rFx6X5bfkYccENsFPyHD25QXRf3KIlI.jspR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {05813611-8CA5-F103-D71F-DC1825AEC2EE} - C:\WINDOWS\System32\fda.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXEO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exeO4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exeO4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [Jsgdrp] C:\WINDOWS\System32	?skmgr.exeO4 - HKCU\..\Run: [Asao] C:\Program Files\onnl\iala.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dllO9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dllO9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dllO9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dllO15 - Trusted Zone: *.asdbiz.bizO15 - Trusted Zone: *.skoobidoo.comO15 - Trusted Zone: *.slotchbar.comO15 - Trusted Zone: *.windupdates.comO15 - Trusted Zone: *.asdbiz.biz (HKLM)O15 - Trusted Zone: *.skoobidoo.com (HKLM)O15 - Trusted Zone: *.slotchbar.com (HKLM)O15 - Trusted Zone: *.windupdates.com (HKLM)O15 - Trusted IP range: 67.19.178.84O15 - Trusted IP range: 67.19.178.84 (HKLM)O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119262795726O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{262C13FB-B38A-488A-BB45-EE96C059C000}: NameServer = 10.133.0.69O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEO23 - Service: NTFSprotect (ntfsdiscman) - Unknown owner - C:\WINDOWS
tfsprotect.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeSmitFraudFix v1.8Rapport fait à 16:43:38,36 le 22/08/2005Executé à partir de F:\yannick
etoyage\SmitfraudFix\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWSC:\WINDOWS\desktop.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32C:\WINDOWS\system32\intell32.exe PRESENT !C:\WINDOWS\system32\oleext.dll PRESENT !C:\WINDOWS\system32\oleext32.dll PRESENT !C:\WINDOWS\system32\vxgame?.exe PRESENT !C:\WINDOWS\system32\vxgamet?.exe PRESENT !C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !C:\WINDOWS\system32\wppp.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\spill\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program FilesC:\Program Files\SpySheriff\PRESENT!»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 22/08/2005!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\boot.iniC:\pagefile.sysC:\ProgramC:\WINDOWSC:\WINDOWS\.C:\WINDOWS\..C:\WINDOWS\0.logC:\WINDOWS\bootstat.datC:\WINDOWS\DebugC:\WINDOWS\desktop.htmlC:\WINDOWS\DownloadedC:\WINDOWS\flag.blaC:\WINDOWS\HelpC:\WINDOWS\infC:\WINDOWS\InstallerC:\WINDOWS
tbtlog.txtC:\WINDOWS
tfsprotect.exeC:\WINDOWS\ODBCINST.INIC:\WINDOWS\PrefetchC:\WINDOWS\psg.exeC:\WINDOWS\pssC:\WINDOWSbs.exeC:\WINDOWSzs.exeC:\WINDOWS\SchedLgU.TxtC:\WINDOWS\sec.exeC:\WINDOWS\setupapi.logC:\WINDOWS\system.iniC:\WINDOWS\system32C:\WINDOWS\TempC:\WINDOWS\uninstIU.exeC:\WINDOWS\wiadebug.logC:\WINDOWS\wiaservc.logC:\WINDOWS\win.iniC:\WINDOWS\WindowsUpdate.logC:\WINDOWS\system32\.C:\WINDOWS\system32\..C:\WINDOWS\system32\294032.exeC:\WINDOWS\system32\birdihuy.dllC:\WINDOWS\system32\birdihuy32.dllC:\WINDOWS\system32\CatRoot2C:\WINDOWS\system32\dllcacheC:\WINDOWS\system32\explorer6s4.exeC:\WINDOWS\system32\hpdriver.sysC:\WINDOWS\system32\iC:\WINDOWS\system32\intell32.exeC:\WINDOWS\system32\latest.exeC:\WINDOWS\system32\setup_62101.exeC:\WINDOWS\system32\shdocvn.dllC:\WINDOWS\system32\vxgame1.exeC:\WINDOWS\system32\vxgame2.exeC:\WINDOWS\system32\vxgame4.exeC:\WINDOWS\system32\vxgame6.exeC:\WINDOWS\system32\vxgamet1.exeC:\WINDOWS\system32\vxgamet2.exeC:\WINDOWS\system32\wapiit.exeC:\WINDOWS\system32\wpa.dblC:\WINDOWS\system32\wppp.htmlC:\WINDOWS\system32\ztoolb009.dllC:\WINDOWS\system32\ztoolbar.bmpC:\WINDOWS\system32\ztoolbar.xml»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTDHKLM\SOFTWARE\SHUDDERLTD non trouvé.»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportmerci pour votre aide

malhorne · Answer

bah merci quand même.vous pouvez directement supprimer le message si c'est pour ne pas y répondre.je vais continuer à chercher :D

Utilisateur anonyme · Answer

Salut Déconnecte toi d'internet: Ferme tout les programmes en cours Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver: Désactive la restauration systéme. Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système". clic sur ok pour valider Redémarre en mode sans échec Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système" clic sur [Appliquer] puis sur [ok] pour valider -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Vide le cache de tous tes navigateurs et supprime les cookies: Pour Internet Explorer: * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion" Valide avec ok Pour Firefox: menu 'Outils' > Options icône 'Vie privée' rubrique Cache, appuyer sur le bouton "Vider le cache" rubrique Cookies appuyer sur le bouton "Effacer" valide ok Pour Mozilla Edition > Préférences > Avancé > Cache clic sur "Vider le cache" et pour les cookies: Outils > Gestionnaire de cookies > Gérer les cookies stockés clic sur "Supprimer les cookies" valider ok -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ passe smitfraudfix option 2 et accepte le nettoyage et sauvegarde le rapport -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Dans le menu Demarrer>Executer >tape: Services.msc recherche le service avec cette orthographe exacte: NTFSprotect Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. puis demarrer > executer > tape cmd valide dans la fenetre dos tape ou copie et colle: sc delete ntfsdiscman valide Lance hijackthis et clic sur [do a system scan only] cocher la case au début des lignes suivantes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vymjrscbydxaifjpxwoq.org/Lfym5umWtWgennpUptTjntSg9vzTsYFt2rFx6X5bfkYccENsFPyHD25QXRf3KIlI.jsp O2 - BHO: (no name) - {05813611-8CA5-F103-D71F-DC1825AEC2EE} - C:\WINDOWS\System32\fda.dll O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe O4 - HKCU\..\Run: [Jsgdrp] C:\WINDOWS\System32 ?skmgr.exe O4 - HKCU\..\Run: [Asao] C:\Program Files\onnl\iala.exe O15 - Trusted Zone: *.asdbiz.biz O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.asdbiz.biz (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted IP range: 67.19.178.84 O15 - Trusted IP range: 67.19.178.84 (HKLM) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) valider en cliquant sur [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Recherche et supprime: Dans le cas ou tu utiliserais la fonction Rechercher: Assure toi que dans: Tous les fichiers et tous les dossiers >> Options avancées • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE ! • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE ! • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE ! Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher" S'ils sont présents, supprime: C:\WINDOWS\System32\kernels32.exe C:\WINDOWS\System32\explorer6s4.exe C:\WINDOWS\System32 ?skmgr.exe C:\Program Files\onnl <- le dossier C:\WINDOWS tfsprotect.exe C:\WINDOWS\sec.exe C:\WINDOWS\system32\hpdriver.sys C:\WINDOWS\system32\i C:\WINDOWS\system32\intell32.exe C:\WINDOWS\system32\latest.exe C:\WINDOWS\system32\setup_62101.exe C:\WINDOWS\system32\shdocvn.dll C:\WINDOWS\system32\ztoolb009.dll C:\WINDOWS\system32\ztoolbar.bmp C:\WINDOWS\system32\ztoolbar.xml C:\WINDOWS\system32\294032.exe C:\WINDOWS\system32\birdihuy.dll C:\WINDOWS\system32\birdihuy32.dll C:\WINDOWS\system32\wapiit.exe -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ensuite, tres important: :: Supprimer les fichiers temporaires :: * C:\Documents and Settings on compte\Local Settings\Temp * C:\Documents and Settings ous les autres comptes\Local Settings\Temp * C:\Temp * C:\Windows\Temp vider tout le contenu de ces dossiers. :: Le contenu du dossier prefetch :: * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini * Ne pas oublier de vider la corbeille ! -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Redemarre normalement et fais un scan av ici: http://webscanner.kaspersky.fr/ une fois l'active x chargé, clic sur suivant, clic sur configuration choisis etendue selectionne l'analyse repertoire, choisis ton ou tes diques dur et valide reposte un log hijack + rapport smitfraudfix + rapport scan av pour vérifier l'évolution

balltrap34 · Answer

salut tu peut rajouter ceux ciC:\WINDOWS\uninstIU.exe http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.desktophijack.htmlC:\WINDOWS\system32\294032.exe celui la inconnu a faire scanner

Utilisateur anonyme · Answer

salut traplol il m'a echappé !!

balltrap34 · Answer

pas grave j etais entrain de verif la liste et j est mis le lien sur notre post pour S/Rsymantec qui corobore l inection smitfraud

Infection spysheriff

5 réponses

Discussions similaires