Infection spysheriff

malhorne -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
salut bon g un petit spysheriff ki traine

voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 16:40:38, on 22/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\yannick\netoyage\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vymjrscbydxaifjpxwoq.org/Lfym5umWtWgennpUptTjntSg9vzTsYFt2rFx6X5bfkYccENsFPyHD25QXRf3KIlI.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {05813611-8CA5-F103-D71F-DC1825AEC2EE} - C:\WINDOWS\System32\fda.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Jsgdrp] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [Asao] C:\Program Files\onnl\iala.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O15 - Trusted Zone: *.asdbiz.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.asdbiz.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119262795726
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{262C13FB-B38A-488A-BB45-EE96C059C000}: NameServer = 10.133.0.69
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NTFSprotect (ntfsdiscman) - Unknown owner - C:\WINDOWS\ntfsprotect.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

SmitFraudFix v1.8

Rapport fait à 16:43:38,36 le 22/08/2005
Executé à partir de F:\yannick\netoyage\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\desktop.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\oleext32.dll PRESENT !
C:\WINDOWS\system32\vxgame?.exe PRESENT !
C:\WINDOWS\system32\vxgamet?.exe PRESENT !
C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\spill\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\SpySheriff\PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 22/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\boot.ini
C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Debug
C:\WINDOWS\desktop.html
C:\WINDOWS\Downloaded
C:\WINDOWS\flag.bla
C:\WINDOWS\Help
C:\WINDOWS\inf
C:\WINDOWS\Installer
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\ntfsprotect.exe
C:\WINDOWS\ODBCINST.INI
C:\WINDOWS\Prefetch
C:\WINDOWS\psg.exe
C:\WINDOWS\pss
C:\WINDOWS\rbs.exe
C:\WINDOWS\rzs.exe
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\sec.exe
C:\WINDOWS\setupapi.log
C:\WINDOWS\system.ini
C:\WINDOWS\system32
C:\WINDOWS\Temp
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\win.ini
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\294032.exe
C:\WINDOWS\system32\birdihuy.dll
C:\WINDOWS\system32\birdihuy32.dll
C:\WINDOWS\system32\CatRoot2
C:\WINDOWS\system32\dllcache
C:\WINDOWS\system32\explorer6s4.exe
C:\WINDOWS\system32\hpdriver.sys
C:\WINDOWS\system32\i
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\latest.exe
C:\WINDOWS\system32\setup_62101.exe
C:\WINDOWS\system32\shdocvn.dll
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgame2.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\wapiit.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html
C:\WINDOWS\system32\ztoolb009.dll
C:\WINDOWS\system32\ztoolbar.bmp
C:\WINDOWS\system32\ztoolbar.xml

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

merci pour votre aide

5 réponses

  1. malhorne
     
    bah merci quand même.

    vous pouvez directement supprimer le message si c'est pour ne pas y répondre.

    je vais continuer à chercher :D
    0
  2. Utilisateur anonyme
     
    Salut

    Déconnecte toi d'internet:

    Ferme tout les programmes en cours

    Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Vide le cache de tous tes navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour Firefox:
    menu 'Outils' > Options
    icône 'Vie privée'
    rubrique Cache, appuyer sur le bouton "Vider le cache"
    rubrique Cookies appuyer sur le bouton "Effacer"
    valide ok

    Pour Mozilla
    Edition > Préférences > Avancé > Cache
    clic sur "Vider le cache"
    et pour les cookies:
    Outils > Gestionnaire de cookies > Gérer les cookies stockés
    clic sur "Supprimer les cookies"
    valider ok

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    passe smitfraudfix option 2 et accepte le nettoyage et sauvegarde le rapport

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    NTFSprotect
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    puis demarrer > executer > tape cmd
    valide
    dans la fenetre dos tape ou copie et colle:

    sc delete ntfsdiscman
    valide

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vymjrscbydxaifjpxwoq.org/Lfym5umWtWgennpUptTjntSg9vzTsYFt2rFx6X5bfkYccENsFPyHD25QXRf3KIlI.jsp
    O2 - BHO: (no name) - {05813611-8CA5-F103-D71F-DC1825AEC2EE} - C:\WINDOWS\System32\fda.dll
    O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll
    O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
    O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe
    O4 - HKCU\..\Run: [Jsgdrp] C:\WINDOWS\System32\t?skmgr.exe
    O4 - HKCU\..\Run: [Asao] C:\Program Files\onnl\iala.exe
    O15 - Trusted Zone: *.asdbiz.biz
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.asdbiz.biz (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 67.19.178.84
    O15 - Trusted IP range: 67.19.178.84 (HKLM)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\WINDOWS\System32\kernels32.exe
    C:\WINDOWS\System32\explorer6s4.exe
    C:\WINDOWS\System32\t?skmgr.exe
    C:\Program Files\onnl <- le dossier
    C:\WINDOWS\ntfsprotect.exe
    C:\WINDOWS\sec.exe
    C:\WINDOWS\system32\hpdriver.sys
    C:\WINDOWS\system32\i
    C:\WINDOWS\system32\intell32.exe
    C:\WINDOWS\system32\latest.exe
    C:\WINDOWS\system32\setup_62101.exe
    C:\WINDOWS\system32\shdocvn.dll
    C:\WINDOWS\system32\ztoolb009.dll
    C:\WINDOWS\system32\ztoolbar.bmp
    C:\WINDOWS\system32\ztoolbar.xml
    C:\WINDOWS\system32\294032.exe
    C:\WINDOWS\system32\birdihuy.dll
    C:\WINDOWS\system32\birdihuy32.dll
    C:\WINDOWS\system32\wapiit.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu de ces dossiers.

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redemarre normalement et fais un scan av ici:
    http://webscanner.kaspersky.fr/
    une fois l'active x chargé, clic sur suivant, clic sur configuration
    choisis etendue
    selectionne l'analyse repertoire, choisis ton ou tes diques dur et valide

    reposte un log hijack + rapport smitfraudfix + rapport scan av pour vérifier l'évolution
    0
  3. Utilisateur anonyme
     
    salut trap

    lol il m'a echappé !!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pas grave j etais entrain de verif la liste et j est mis le lien sur notre post pour S/R
    symantec qui corobore l inection smitfraud
    0