Infecté par trojan.w.32.looksky sos

Résolu
oliv3833 -  
 oliv3833 -
Bonjour,

je suis infecté par trojan.w.32.looksky et j'ai cru comprendre que chaque cas est différent.
ce truc m'ouvre des tas de pages safewebnavigate.com. j'ai une croix rouge que me regarde d'un air méchant dans la barre des taches
je vous poste le rapport hijackthis et espère une aide de votre part.
merci d'avance

oliv

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:38, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
H:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
H:\Program Files\RocketDock\RocketDock.exe
H:\Program Files\Reflex Vision\ReflexVision.exe
H:\Program Files\Winsos\WINSOS.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\acs.exe
H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
H:\Program Files\ewido anti-malware\ewidoctrl.exe
H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\cmd.exe
H:\Program Files\navilog1\fsblc.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Outlook Express\msimn.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\Documents and Settings\cris oliv\Bureau\test\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSVPS System - {ECBD04D1-1133-4480-8A8C-BC9FDD54D6C1} - H:\WINDOWS\div32.dll
O4 - HKLM\..\Run: [ATICCC] "H:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sunkist2k] H:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "H:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Reflex Vision] "H:\Program Files\Reflex Vision\ReflexVision.exe" Start:Silent
O4 - HKCU\..\Run: [Entbloess 2] H:\Program Files\Reflex Vision\ReflexVision.exe Start:Silent
O4 - HKCU\..\Run: [WINSOS VERIFY] "H:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = H:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-3fe71d8c9e2ef1a1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O21 - SSODL: mssql - {7AE013B7-681B-41FA-8294-5F1B3212DD6C} - H:\WINDOWS\mssql.dll
O21 - SSODL: syscore - {E1A1D3ED-FDCA-4137-8E4E-86CE719BDD91} - H:\WINDOWS\syscore.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - H:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ewido security suite control - ewido networks - H:\Program Files\ewido anti-malware\ewidoctrl.exe

--
End of file - 4852 bytes
Configuration: Windows XP
Firefox 2.0.0.7

10 réponses

  1. turboscript Messages postés 247 Statut Membre 29
     
    je sais pas trop mais la plupart du temps , c'est pareil !
    tu cherches le fix fait par un éditeur d'antivirus, ensuite tu enlève la restauration système dans panneau de configuration --> système -->Restauration système et enfin tu lance le fix
    0
  2. mahdifrance
     
    Bonjour,
    je crois qu-un anti virus ferait l'affaire,t'as essayé kaspersky!!!
    0
  3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    'lu

    je crois qu-un anti virus ferait l'affaire,t'as essayé kaspersky!!!

    C'est quoi ça ==>
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

    ???
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. oliv36833
     
    Bonjour,

    j'ai suivi les étapes et ca semble marcher

    merci je post le rapport SmitFraudFix
    Pouvez vous me dire si tout va bien ou si il est juste endormi?
    je porte aussi un nouveau rapport HijackThis sur un autre post

    merci d'avance pour vos réponses

    Rapport fait à 13:20:06,20, 30/09/2007
    Executé à partir de H:\Documents and Settings\cris oliv\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    H:\WINDOWS\div32.dll supprimé
    H:\WINDOWS\main_uninstaller.exe supprimé
    H:\WINDOWS\mssql.dll supprimé
    Deleting [HKEY_CLASSES_ROOT\CLSID\{7AE013B7-681B-41FA-8294-5F1B3212DD6C}]
    H:\WINDOWS\syscore.dll supprimé
    Deleting [HKEY_CLASSES_ROOT\CLSID\{E1A1D3ED-FDCA-4137-8E4E-86CE719BDD91}]
    H:\Program Files\VideoAccessCodec\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  6. oliv36833
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:41:37, on 30/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\Ati2evxx.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\Ati2evxx.exe
    H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\Multimedia Card Reader\shwicon2k.exe
    C:\Program Files\Soft4Ever\looknstop\looknstop.exe
    H:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    H:\Program Files\RocketDock\RocketDock.exe
    H:\Program Files\Reflex Vision\ReflexVision.exe
    H:\Program Files\Winsos\WINSOS.EXE
    H:\WINDOWS\system32\spoolsv.exe
    H:\Program Files\NETGEAR\WPN311\wlancfg5.exe
    H:\WINDOWS\system32\acs.exe
    H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    H:\Program Files\ewido anti-malware\ewidoctrl.exe
    H:\WINDOWS\system32\wscntfy.exe
    H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    H:\Program Files\Mozilla Firefox\firefox.exe
    H:\WINDOWS\system32\NOTEPAD.EXE
    H:\Documents and Settings\cris oliv\Bureau\test\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: MSVPS System - {ECBD04D1-1133-4480-8A8C-BC9FDD54D6C1} - H:\WINDOWS\div32.dll (file missing)
    O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [ATICCC] "H:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [Sunkist2k] H:\Program Files\Multimedia Card Reader\shwicon2k.exe
    O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
    O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKCU\..\Run: [RocketDock] "H:\Program Files\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [Reflex Vision] "H:\Program Files\Reflex Vision\ReflexVision.exe" Start:Silent
    O4 - HKCU\..\Run: [Entbloess 2] H:\Program Files\Reflex Vision\ReflexVision.exe Start:Silent
    O4 - HKCU\..\Run: [WINSOS VERIFY] "H:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = H:\Program Files\NETGEAR\WPN311\wlancfg5.exe
    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-3fe71d8c9e2ef1a1.spaces.live.com/PhotoUpload/MsnPUpld.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - H:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - H:\WINDOWS\system32\acs.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: ewido security suite control - ewido networks - H:\Program Files\ewido anti-malware\ewidoctrl.exe
    0
  7. oliv3833
     
    allo allo

    quelqu'un pour me répondre?
    0
  8. turboscript Messages postés 247 Statut Membre 29
     
    désolé, je t'ai dit de suivre la procédure que j'ai cherché en 5 secondes à ta place, si à la suite de la procédure, on te dis qu'il a été supprimé je ne peux rien de plus pour toi
    0
  9. cristali
     
    bonjour
    moi je l 'ai enlevé tres facilement avec smitfraufix.

    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    0
  10. oliv3833
     
    Bonjour,
    c'était pour etre sur

    je crois que c'est tout bon

    merci a tous

    ps je sais pas mettre en résolu
    0