Worm Jump Fermé

Question

Bonjour,
j étais comme certains embétés avec le worm jump, qui m a été transmis via une clef usb infectée (ce salop de propriétaire ne m a rien dit!!!!) J ai fait quelques manips trouvées sur un site, mais ne susi absolument pas sur d en etre debarassé parce que je suis loin d etre un as de l informatique. je poste ici mon rapport Hijackthis
Merci de votre patience

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:52, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\DV Series\Console\Watch.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\DOCUME~1\NADGEC~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Documents and Settings\Fabien Batrancourt\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Service Controller] csrrs.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\RunServices: [Service Controller] csrrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Watch.lnk = C:\Program Files\DV Series\Console\Watch.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Documents and Settings\Fabien Batrancourt\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Documents and Settings\Fabien Batrancourt\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://kits.gaystage.com/getkits/375/ledialgay.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.edipole.fr/getkits/pasx/pasx01.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED498C2F-8256-4A46-B758-02AB6B22F72E}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
O21 - SSODL: System - {39B81285-D23F-442C-8CD3-9EB1B3B80EA4} - (no file)
O21 - SSODL: printers - {9DB6B9AF-6EDB-4B60-BF2C-5E88C963E1D6} - libcintles3.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Unknown owner - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe (file missing)
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe (file missing)

Utilisateur anonyme · Answer

coches les cases et fait fix checked :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Service Controller] csrrs.exe

O4 - HKLM\..\RunServices: [Service Controller] csrrs.exe

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://kits.gaystage.com/getkits/375/ledialgay.exe

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.edipole.fr/getkits/pasx/pasx01.exe

O21 - SSODL: System - {39B81285-D23F-442C-8CD3-9EB1B3B80EA4} - (no file)

O21 - SSODL: printers - {9DB6B9AF-6EDB-4B60-BF2C-5E88C963E1D6} - libcintles3.dll (file missing)


Voilà redémarre ton pc et supprime :
csrrs.exe ( en fesant une recherche)

FabFab12 · Answer

Tout est Ok sauf que je n ai pas trouvé de fichier csrrs.exe en effectuant une recherche, est ce normal?

Utilisateur anonyme · Answer

Bonjour

Peux tu faire ces deux choses stp car c'est pas comme ça que tes "virus" vont partir


¤ Télécharge MSNFix.zip
http://sosvirus.changelog.fr/MSNFix.zip 

Décompresse-le (clic droit >> Extraire ici) et double clicr sur le fichier MSNFix.bat. 
- Exécute l'option R. 
-- Si l'infection est détectée, exécute l'option N. 
--- Sauvegarde ce rapport puis faiq un copier/coller de ce rapport sur le forum




¤ Télécharge DiagHelp.zip sur ton bureau
http://www.malekal.com/download/DiagHelp.zip


Ne double-clic pas dessus. Fais un clic droit sur le fichier et extraire tout. Un nouveau dossier chercher va être créé DiagHelp 
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) 
Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. 

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran ! 

A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt 
Copie et colle le contenu du bloc-notes qui s'ouvre  VERIFIE qu'il soit en entier (rapport très long)

afideg · Answer

Ouf!

Utilisateur anonyme · Answer

Quel soupir Amigo, toi aussi t'es désespéré par "l'entraide" :P

moK´s@ · Answer

encore deux qui ralent lol

afideg · Answer

Amigo,
Tu parles d'entraide ?
Il y a des gens qui croient au miracle; pas moi.
Je viens de le dire à dorgane ==> vois la liste de ses messages.
Coucou moK´s@ 

Al.

moK´s@ · Answer

ca me fais doucement sourir, 

moi aussi j´y crois, d´autre comme boulepate, en on assez a ce que j´ai compris...

je le comprends d´une certaine maniere, il a la mer a porté de jambe et le plus important > le soleil ;-)

boulepate, j´espere que tes progets avancent...

ps : je ne connais meme pas ton vrai prenom, comble du faite, peut etre...

Utilisateur anonyme · Answer

Yes, moi je râle tout l'temps lol, surtout ici, j'aime ça :D

ça avance oui, un peu à l'arrêt à cause de l'ouragan, mais je désespere pas :-)

Mon prènom .... boulepate, c'est pas beau ? Moi non plus j'connais pas l'tiens à mois que ce soit Mok'S@  (^_^)

A++ ;-)

^^Marie^^ · Answer

;;;)))

Langouste, il s'appelle ;;)

moK´s@ · Answer

c´est vrai, l´ouragan; mechante la bete...

mon prenom n´a pas breaucoups d´impact, car tu ne va pas me croire de toute maniere; je te le dis quand meme : ville > prenom finnois...

> a tes yeux surement un autre pseudo...

enfin voila, issue de differents horizons, on pourrait peut etre aller manger des frites avec afideg ;-) > un jour peut etre???

afideg · Answer

(suite)

minä olen iloinen ==> j'y pensais hier dans mon jardin.
Votre passage serait enchanteur.

Mais il pleut encore maintenant !! 

Le vrai prénom de Boulepate, je vais te le dire comme déjà Marie ==> il se prénomme "grosse langouste" et sa maison est une barquette ( avec une couverture au-dessus). 
C'est comme chez moi, pas trop de place .   ;)

Al.

moK´s@ · Answer

minä kanssa olen iloinen ;-)

elles se portent bien tes salades? lol

chez moi, j´en parle meme pas, je vous salut juste du 5eme etage...

quand a la barquette de la grosse langouste lol , je crains qu´elle n´aurait survecu a l´ouragant...

^^Marie^^ · Answer

lol

En attendant pour ne pas soulever un sujet plus ou moins épineux
navilog catchme#0

Juste pour lire ;;;)))

moK´s@ · Answer

salut marie, ca biche?

je n´arrive pas a voir ton lien...

^^Marie^^ · Answer

Derme, c'est vrai c'est réservé aux contributeurs
infecte par spywaresecure trial setup exe#16

La procédure est-elle la même ?
Faut-il pousser avec Catchme ?


Je pose la question ici, cela pourrait-être intéressant pour d'autres personnes
Merci

moK´s@ · Answer

rabjoise, non je rigole;-)

catchme est integré a navilog...

les fichiers ont etés trouvés et supprimés, non ? ou alors je suis aveugle...

Utilisateur anonyme · Answer

même chose (^_^)

Pourquoi grosse langouste ? lol 
Comptez pas sur moi pour la salade y'en a pas trop en cemoment, puis manger de la verdure à trois euros l'unité on va attendre hein :-)

moK´s@ · Answer

pour moi c´est juste un revelateur comme black light...

lui s´ocupe des rootkit...

peut etre les autres auront d´autre choses a en dire...

Utilisateur anonyme · Answer

Oui, j'ai autre chose à en dire : j'ai chaud !

moK´s@ · Answer

va chercher un soda et dis nous alors, ca a l´air d´etre brulant...

Worm Jump

21 réponses

Discussions similaires