menace de mort

Question

Bonjour,
il y a deux jours, quelqu'un ou quelque chose m'a menacé de mort " 7 jours " puis " tu vas mourrir" puis " grosse pute". Ces messages se sont inscrit dans la barre d'adresse de mon panneau de configuration. Apres une grosse frayeur, le lendemain, j'ai trouvé, le logiciel VNC alors que je ne l'ai jamais installé. Je l'ai desintallé mais un message d'erreur m'a indiqué qu'il resté des fichiers parce que le logiciel etait en cours. Je suis allée dans program file pour supprimer ce qui resté et là, quelqu'un ou quelque chose a fermé ma fenetre. mon fond d'ecran a disparu ( ca me l'avait aussi fait avant les premier message. J'ai redemarré mon pc, et là, c'est dans la barre d'identification qu'un message est apparut, lettre par lettre : " 6 jours " (et re-grosse frayeur). Voila.
Du coup j'ai installé zone alarm, spybot et j'ai avast comme antivirus. le dernier message est d'hier... je vais voir ce soir si ca se reproduit. il me resterait donc plus que 5 jours a vivre... Bien que tres terre a terre, je suis un peu paniquée. De plus sur les forums je ne trouve aucun cas similaire. Est ce que quelqu'un pourrait me dire s'il s'agit d'un pirate ou d'un virus et s'il n'est pas possible de trouver d'ou ca vient ? et si j'ai d'autres choses à faire pour protéger mon pc ? et comment ca se fait que VNC s'est installé tout seul ?
Merci beaucoup

Pi_Xi · Answer

Bonjour,

bizarre ton histoire... on se croirait dans un film !!

Télécharge HiJackThis: http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    * Dézippe-le dans un dossier prévu à cet effet. Par exemple C:\hijackthis
    * Exécute-le puis clic sur "Do a system scan and save a logfile"
    * Copie-colle le rapport dans ta prochaine réponse stp.

sebsauvage · Answer

bah... encore une machine pas protégée, comme d'hab.  Il faut toujours attendre une catastrophe pour se protéger ?

Ta machine a été infectée probablement par un cheval de Troie, et quelqu'un sur internet a un contrôle total de ta machine.
Il a pu installer VNC et tout ce qu'il veut.

Sans doute un plaisantin, ou quelqu'un de mal intentionné qui veut te faire peur (Peut-être quelqu'un qui te connait ? Un collègue, un voisin, un/une ex, quelqu'un avec qui tu as discuté sur MSN ?)

atawa · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:00, on 22/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Dell sans fil\PRISMCFG.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\MOZILLA FIREFOX\FIREFOX.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [AdVantage] "C:\Program Files\AdVantage\AdVantage.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Global Startup: Utilitaire de carte WLAN sans fil USB 2.0.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PRISMSVC - Conexant Systems, Inc. - C:\WINDOWS\system32\PRISMSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

atawa · Answer

Je pensais que le pare feu de windows et avast suffisaient. je ne suis pas trs doué en informatique.

Pi_Xi · Answer

Télécharge: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    * Exécute-le, double-clic sur Smitfraudfix.cmd, choisis l’option 1.
    * Il va générer un rapport : copie/colle son contenu

atawa · Answer

SmitFraudFix v2.274

Rapport fait à 15:38:42,06, 22/01/2008
Executé à partir de C:\Documents and Settings\Administrateur.TITANIUM\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Dell sans fil\PRISMCFG.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PRISMSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\MOZILLA FIREFOX\FIREFOX.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	legal-at-spybot.info
127.0.0.1	www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.TITANIUM


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.TITANIUM\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.TIT\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{134BE700-ADD0-461D-B15C-CB0BCC466432}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6261F0FB-2207-4ED2-9CC7-ECAB474D8E4F}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D13B8BEB-8475-474F-BF8B-4890A23A1C14}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{134BE700-ADD0-461D-B15C-CB0BCC466432}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6261F0FB-2207-4ED2-9CC7-ECAB474D8E4F}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{134BE700-ADD0-461D-B15C-CB0BCC466432}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6261F0FB-2207-4ED2-9CC7-ECAB474D8E4F}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D13B8BEB-8475-474F-BF8B-4890A23A1C14}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{134BE700-ADD0-461D-B15C-CB0BCC466432}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6261F0FB-2207-4ED2-9CC7-ECAB474D8E4F}: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D13B8BEB-8475-474F-BF8B-4890A23A1C14}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

atawa · Answer

je sais bien je l'ai installé hier apres les premiers messages. le pare feu windows est desactivé.

Utilisateur anonyme · Answer

bonjour , pour suivre ! pardonnez moi

Pi_Xi · Answer

Télécharge: http://siri.urz.free.fr/RHosts.php

Double-clic dessus pour l'éxécuter.

Poste le rapport stp.

atawa · Answer

Je n'arrive pas a le telecharger. il me demande si je veux restaurer les fichiers hosts je clique sur restaurer et je recois un message de zone alrm. Apparemment il me bloque

atawa · Answer

meme en fermant zone alarm il m'envoie un message d'erreur

atawa · Answer

Le message d'erreur :"impossible de creer le fichier : c:\windows\system32\drivers\etc\hosts"

Pi_Xi · Answer

Sur les conseils du carrosier ;o)

Relance le programme Smitfraud
Cette fois choisit l’option 2, répond oui a tous
Sauvegarde le rapport.
Redémarre en mode normal, copie/colle le rapport sauvegardé stp.

Utilisateur anonyme · Answer

Salut, juste pour suivre, merci,( pardonnez moi.)

atawa · Answer

spybot me demande si j'autorise la modif ?

Pi_Xi · Answer

On va essayer une aute méthode pour le host corrompu, même si j'y crois pas trop ...

Télécharge HostsXpert v4.0: http://www.funkytoad.com/download/HostsXpert.zip

Décompresse-le sur le bureau

Clique sur "Restore MS Hosts files"

EDIT: au fait, tu es bien administrateur de ta machine ? C'est ptet pace que t'es pas admin que rhost peut pas créer le fichier ...

Pour info: http://www.commentcamarche.net/faq/sujet 5993 modifier son fichier hosts

Pi_Xi · Answer

J'ai bien envie de modifier le fichier host à la "barbare" (s'il n'a pas déjà été rétabli), en commentant les lignes suspectes, et en ajoutant une ligne légitime, j'aimerais avoir l'avis de sebsauvage avant ... ;o)

* Peux-tu faire un copier-coller du contenu de: C:\WINDOWS\system32\drivers\etc\hosts stp?

Pi_Xi · Answer

Poste un nouveau rapport HiJackThis stp.

Pi_Xi · Answer

Ouvre Hijackthis, choisis "do a scan only"

Coche la case devant les lignes:O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [AdVantage] "C:\Program Files\AdVantage\AdVantage.exe"Ferme toutes les autres fenêtres actives et clique sur "Fix checked"

Je dois y aller, je repasse dans la soirée.

Si qq veut prendre la relève ... ;o)

Bon courage ! ^^

Menace de mort

19 réponses

Votre réponse

Discussions similaires

Newsletters