Pleaze Fermé

Question

Bonjour,

Je suis infectée.

Je n´y connais pas grand chose en informatique, mais je sais qu´en ce moment windows n´est pas mon copain, j´ai egalement beaucoup de mal a me connecté autrement qu´en mode sans echec...

Je sais c´est samedi et vous avez surement un tas d´autres trucs a faire, mais je vous en prie aidez moi svp..

Merci.

J´ai pu faire ce rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:13, on 2008-06-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWIN.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts:?
O2 - BHO: adzgalore - {994B5FB4-0103-44A6-B6B3-C73572B362BC} - C:\WINDOWS\system32
sgD.dll
O2 - BHO: Live_TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV	bLiv1.dll
O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\iifffde.dll 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [{34-4B-B5-57-DW}] C:\windows\system32\jpwnw64o.exe DWram
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [{532d74ef-deac-9655-086d-facc555b8712}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\{4aeefd23-6fb6-92b4-6833-da6482d0c0f1}.dll" DllInit
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\Metreau\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
O4 - HKCU\..\Run: [91920645654042828511477797697963] C:\Program Files\XP Antivirus\xpa.exe 
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\scntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Notebook Card Client Utility.lnk = ?
O4 - Global Startup: .protected
O4 - Global Startup: PowerReg Scheduler.exe
O5 - control.ini: inetcpl.cpl=no
O5 - control.ini:?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\christine b\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=?
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FA4FEE-F05E-41BE-93CA-FF4A1067818B}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{79C9E847-7FB5-4DE4-A2AD-EE8620B598D2}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll
O20 - Winlogon Notify:i042laho1d4c.dll- C:\WINDOWS\system32\i042laho1d4c.dll
O21 - SSODL: UnknownUnknown - {92788c02-cb76-4ca8-a86b-5601341268d2} - C:\WINDOWS\Resources\UnknownUnknown.dll
O21 - SSODL: adgpfoxs - {B21A49CE-2C9F-4347-915A-71126C5C8814} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {8C69CF5A-E416-4BE8-9C78-425E1DE73A46} - C:\WINDOWS\erpobmsw.dll (file missing)
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtvirl63.dll 
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\ffi.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2hyaXN0aW5l\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor
etmon.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
O24 - Desktop Component 1: (no name) - %Windir%\werco.htm

Regis59 · Answer

Salut

Wahou, vu le nombre d'infections, tu métonnes. Ou surfes tu? Sites de cracks, sites X???
Ton Windows est cracké?

Tu as accès au mode normal?

Sinon, commence tout de même par là:

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
•	Redémarre ton ordinateur
•	Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
•	A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
•	Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
•	Choisis ton compte.
Déroule la liste des instructions ci-dessous :
•	Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
•	Appuie sur Y pour commencer le processus de nettoyage.
•	Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
•	Appuie sur une touche pour redémarrer le PC.
•	Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
•	Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
•	Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
•	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
•	Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

A+

g!rly · Answer

salut Regis59,

Effectivement sacrée infection que voila o_Ö

@+

g!rly · Answer

Bonjour Regis59,

Merci pour ta reponse rapide.

J´ai fais ce que tu m´as demandé...

[b]SDFix: Version 1.188
Run by Administrateur on 2008-06-07 at 18:15

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services :

[b]Name :
cmdService
kbd
Network Monitor

[b]Path :
C:\WINDOWS\Y2hyaXN0aW5l\command.exe
\??\C:\WINDOWS\system32\drivers\kbd.sys
C:\Program Files\Network Monitor
etmon.exe service

cmdService - Deleted
kbd - Deleted
Network Monitor - Deleted
[b]Name /b:
astq
Driver
FFI
nested
ztx86

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files :

Trojan Files Found:

C:\WINDOWS\system32qRJDtUO.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\asappsrv.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\command.exe - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\sZ1VurhXuqc5.vbs - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\Temp\vtmp2\ktnv33.log - Deleted
C:\WINDOWS\system32\vntiho01\vntiho011065.exe - Deleted
C:\WINDOWS\system32\Z1\hdpars11.exe - Deleted
C:\Program Files\JavaCore\JavaCore.exe - Deleted
C:\Program Files\JavaCore\UnInstall.exe - Deleted
C:\Program Files\Spcron\Spc.dll - Deleted
C:\Program Files\Temporary\WnInt.exe - Deleted
C:\WINDOWS\b152.exe - Deleted
C:\WINDOWS\b155.exe - Deleted
C:\WINDOWS\b156.exe - Deleted
C:\WINDOWS\mrofinu1000106.exe - Deleted
C:\WINDOWS\mrofinu572.exe - Deleted
C:\Program Files\Network Monitor
etmon.exe - Deleted
C:\WINDOWS\system32\atmtd.dll - Deleted
C:\WINDOWS\system32\atmtd.dll._ - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32wwnw64d.exe - Deleted
C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
C:\WINDOWS\uninstall_nmon.vbs - Deleted
C:\WINDOWS\system32\drivers\kbd.sys - Deleted


Folder C:\Program Files\InetGet2 - Removed
Folder C:\Program Files\JavaCore - Removed
Folder C:\Program Files\Network Monitor - Removed
Folder C:\Program Files\Spcron - Removed
Folder C:\Program Files\Temporary - Removed
Folder C:\Documents and Settings\LocalService\Application Data\NetMon - Removed
Folder C:\Temp\1cb - Removed
Folder C:\Temp\vtmp2 - Removed
Folder C:\WINDOWS\system32\vntiho01 - Removed
Folder C:\WINDOWS\system32\Z1 - Removed


Removing Temp Files

[b]ADS Check :



[b]Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2008-06-05 17:56:12
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services :




Authorized Application Key Export:

[b]Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes :


[b]Finished! 
-----------------------------------------------------------------------------
Ha ha,

Salut Quentin`

C´est sur toi que c´est tombé LoL`

En tout cas chapeau, pour ton temps de reaction (13 minutes > sa porte bonheur)...

Vouloir s´attaquer a une infection de la sorte > chapeau bas ;-)

J´en perd mon chapeau du coup ?!

Enfin voila, on s´amuse comme on peut...

Dbisoux`

@+

Regis59 · Answer

LOL

C'est gentil ça, mais j'ai pas compris pourquoi c'est toi qui poste le SDFIX?

A+

g!rly · Answer

LOL

T´as rien compris en somme...

C´est moi Fafy...

Regis59 · Answer

Ah ok

T'arrives pas à désinfecter et c'est à toi ce pc?Lol
Ou c est une VM?

A+

g!rly · Answer

On s´amuse comme on peu...
J´ai recupéré sur mes topiks les pires infections possibles et les ai centralisés sur ce hijack this...

Regis59 · Answer

Arf lol tu sais que j'ai pas que cela a traité? Tu crois que j ai du temps à perdre?
Finalement rien de concret !!

:-(

g!rly · Answer

Tu l´as mal pris > tant pis...

g!rly · Answer

Je veux bien faire du concret cela etant dit...

Regis59 · Answer

Nan pas mal pris :-)

Faire du concret, c'est à dire??

g!rly · Answer

En d´autres mots, j´attends avec impatience l´ouverture de la nouvelle rubrique...
Creation de fix, test, ect...

Regis59 · Answer

Ah bon, pourquoi elle va s'ouvrir?lol