Pleaze

Fafy -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je suis infectée.

Je n´y connais pas grand chose en informatique, mais je sais qu´en ce moment windows n´est pas mon copain, j´ai egalement beaucoup de mal a me connecté autrement qu´en mode sans echec...

Je sais c´est samedi et vous avez surement un tas d´autres trucs a faire, mais je vous en prie aidez moi svp..

Merci.

J´ai pu faire ce rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:13, on 2008-06-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWIN.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts:?
O2 - BHO: adzgalore - {994B5FB4-0103-44A6-B6B3-C73572B362BC} - C:\WINDOWS\system32\nsgD.dll
O2 - BHO: Live_TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLiv1.dll
O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\iifffde.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [{34-4B-B5-57-DW}] C:\windows\system32\jpwnw64o.exe DWram
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [{532d74ef-deac-9655-086d-facc555b8712}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\{4aeefd23-6fb6-92b4-6833-da6482d0c0f1}.dll" DllInit
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\Metreau\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
O4 - HKCU\..\Run: [91920645654042828511477797697963] C:\Program Files\XP Antivirus\xpa.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\scntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Notebook Card Client Utility.lnk = ?
O4 - Global Startup: .protected
O4 - Global Startup: PowerReg Scheduler.exe
O5 - control.ini: inetcpl.cpl=no
O5 - control.ini:?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\christine b\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=?
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FA4FEE-F05E-41BE-93CA-FF4A1067818B}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{79C9E847-7FB5-4DE4-A2AD-EE8620B598D2}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll
O20 - Winlogon Notify:i042laho1d4c.dll- C:\WINDOWS\system32\i042laho1d4c.dll
O21 - SSODL: UnknownUnknown - {92788c02-cb76-4ca8-a86b-5601341268d2} - C:\WINDOWS\Resources\UnknownUnknown.dll
O21 - SSODL: adgpfoxs - {B21A49CE-2C9F-4347-915A-71126C5C8814} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {8C69CF5A-E416-4BE8-9C78-425E1DE73A46} - C:\WINDOWS\erpobmsw.dll (file missing)
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtvirl63.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\ffi.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2hyaXN0aW5l\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
O24 - Desktop Component 1: (no name) - %Windir%\werco.htm
Configuration: Windows XP

13 réponses

  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Wahou, vu le nombre d'infections, tu métonnes. Ou surfes tu? Sites de cracks, sites X???
    Ton Windows est cracké?

    Tu as accès au mode normal?

    Sinon, commence tout de même par là:

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    A+
    0
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut Regis59,

    Effectivement sacrée infection que voila o_Ö

    @+
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    Bonjour Regis59,

    Merci pour ta reponse rapide.

    J´ai fais ce que tu m´as demandé...

    [b]SDFix: Version 1.188
    Run by Administrateur on 2008-06-07 at 18:15

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services :

    [b]Name :
    cmdService
    kbd
    Network Monitor

    [b]Path :
    C:\WINDOWS\Y2hyaXN0aW5l\command.exe
    \??\C:\WINDOWS\system32\drivers\kbd.sys
    C:\Program Files\Network Monitor\netmon.exe service

    cmdService - Deleted
    kbd - Deleted
    Network Monitor - Deleted
    [b]Name /b:
    astq
    Driver
    FFI
    nested
    ztx86

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files :

    Trojan Files Found:

    C:\WINDOWS\system32\rqRJDtUO.dll - Deleted
    C:\WINDOWS\Y2hyaXN0aW5l\asappsrv.dll - Deleted
    C:\WINDOWS\Y2hyaXN0aW5l\command.exe - Deleted
    C:\WINDOWS\Y2hyaXN0aW5l\sZ1VurhXuqc5.vbs - Deleted
    C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
    C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
    C:\Temp\1cb\syscheck.log - Deleted
    C:\Temp\vtmp2\ktnv33.log - Deleted
    C:\WINDOWS\system32\vntiho01\vntiho011065.exe - Deleted
    C:\WINDOWS\system32\Z1\hdpars11.exe - Deleted
    C:\Program Files\JavaCore\JavaCore.exe - Deleted
    C:\Program Files\JavaCore\UnInstall.exe - Deleted
    C:\Program Files\Spcron\Spc.dll - Deleted
    C:\Program Files\Temporary\WnInt.exe - Deleted
    C:\WINDOWS\b152.exe - Deleted
    C:\WINDOWS\b155.exe - Deleted
    C:\WINDOWS\b156.exe - Deleted
    C:\WINDOWS\mrofinu1000106.exe - Deleted
    C:\WINDOWS\mrofinu572.exe - Deleted
    C:\Program Files\Network Monitor\netmon.exe - Deleted
    C:\WINDOWS\system32\atmtd.dll - Deleted
    C:\WINDOWS\system32\atmtd.dll._ - Deleted
    C:\WINDOWS\system32\msnav32.ax - Deleted
    C:\WINDOWS\system32\pac.txt - Deleted
    C:\WINDOWS\system32\rwwnw64d.exe - Deleted
    C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
    C:\WINDOWS\uninstall_nmon.vbs - Deleted
    C:\WINDOWS\system32\drivers\kbd.sys - Deleted

    Folder C:\Program Files\InetGet2 - Removed
    Folder C:\Program Files\JavaCore - Removed
    Folder C:\Program Files\Network Monitor - Removed
    Folder C:\Program Files\Spcron - Removed
    Folder C:\Program Files\Temporary - Removed
    Folder C:\Documents and Settings\LocalService\Application Data\NetMon - Removed
    Folder C:\Temp\1cb - Removed
    Folder C:\Temp\vtmp2 - Removed
    Folder C:\WINDOWS\system32\vntiho01 - Removed
    Folder C:\WINDOWS\system32\Z1 - Removed

    Removing Temp Files

    [b]ADS Check :

    [b]Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
    Rootkit scan 2008-06-05 17:56:12
    Windows 5.1.2600 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services :

    Authorized Application Key Export:

    [b]Remaining Files :

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes :

    [b]Finished!
    -----------------------------------------------------------------------------
    Ha ha,

    Salut Quentin`

    C´est sur toi que c´est tombé LoL`

    En tout cas chapeau, pour ton temps de reaction (13 minutes > sa porte bonheur)...

    Vouloir s´attaquer a une infection de la sorte > chapeau bas ;-)

    J´en perd mon chapeau du coup ?!

    Enfin voila, on s´amuse comme on peut...

    Dbisoux`

    @+
    0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    LOL

    C'est gentil ça, mais j'ai pas compris pourquoi c'est toi qui poste le SDFIX?

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    LOL

    T´as rien compris en somme...

    C´est moi Fafy...
    0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ah ok

    T'arrives pas à désinfecter et c'est à toi ce pc?Lol
    Ou c est une VM?

    A+
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    On s´amuse comme on peu...
    J´ai recupéré sur mes topiks les pires infections possibles et les ai centralisés sur ce hijack this...
    0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Arf lol tu sais que j'ai pas que cela a traité? Tu crois que j ai du temps à perdre?
    Finalement rien de concret !!

    :-(
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    Tu l´as mal pris > tant pis...
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    Je veux bien faire du concret cela etant dit...
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Nan pas mal pris :-)

    Faire du concret, c'est à dire??
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    En d´autres mots, j´attends avec impatience l´ouverture de la nouvelle rubrique...
    Creation de fix, test, ect...
    0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ah bon, pourquoi elle va s'ouvrir?lol
    0