Pleaze
Fafy
-
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je suis infectée.
Je n´y connais pas grand chose en informatique, mais je sais qu´en ce moment windows n´est pas mon copain, j´ai egalement beaucoup de mal a me connecté autrement qu´en mode sans echec...
Je sais c´est samedi et vous avez surement un tas d´autres trucs a faire, mais je vous en prie aidez moi svp..
Merci.
J´ai pu faire ce rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:13, on 2008-06-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWIN.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts:?
O2 - BHO: adzgalore - {994B5FB4-0103-44A6-B6B3-C73572B362BC} - C:\WINDOWS\system32\nsgD.dll
O2 - BHO: Live_TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLiv1.dll
O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\iifffde.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [{34-4B-B5-57-DW}] C:\windows\system32\jpwnw64o.exe DWram
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [{532d74ef-deac-9655-086d-facc555b8712}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\{4aeefd23-6fb6-92b4-6833-da6482d0c0f1}.dll" DllInit
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\Metreau\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
O4 - HKCU\..\Run: [91920645654042828511477797697963] C:\Program Files\XP Antivirus\xpa.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\scntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Notebook Card Client Utility.lnk = ?
O4 - Global Startup: .protected
O4 - Global Startup: PowerReg Scheduler.exe
O5 - control.ini: inetcpl.cpl=no
O5 - control.ini:?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\christine b\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=?
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FA4FEE-F05E-41BE-93CA-FF4A1067818B}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{79C9E847-7FB5-4DE4-A2AD-EE8620B598D2}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll
O20 - Winlogon Notify:i042laho1d4c.dll- C:\WINDOWS\system32\i042laho1d4c.dll
O21 - SSODL: UnknownUnknown - {92788c02-cb76-4ca8-a86b-5601341268d2} - C:\WINDOWS\Resources\UnknownUnknown.dll
O21 - SSODL: adgpfoxs - {B21A49CE-2C9F-4347-915A-71126C5C8814} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {8C69CF5A-E416-4BE8-9C78-425E1DE73A46} - C:\WINDOWS\erpobmsw.dll (file missing)
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtvirl63.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\ffi.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2hyaXN0aW5l\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
O24 - Desktop Component 1: (no name) - %Windir%\werco.htm
Je suis infectée.
Je n´y connais pas grand chose en informatique, mais je sais qu´en ce moment windows n´est pas mon copain, j´ai egalement beaucoup de mal a me connecté autrement qu´en mode sans echec...
Je sais c´est samedi et vous avez surement un tas d´autres trucs a faire, mais je vous en prie aidez moi svp..
Merci.
J´ai pu faire ce rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:13, on 2008-06-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVWIN.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts:?
O2 - BHO: adzgalore - {994B5FB4-0103-44A6-B6B3-C73572B362BC} - C:\WINDOWS\system32\nsgD.dll
O2 - BHO: Live_TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLiv1.dll
O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\iifffde.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [{34-4B-B5-57-DW}] C:\windows\system32\jpwnw64o.exe DWram
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [{532d74ef-deac-9655-086d-facc555b8712}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\{4aeefd23-6fb6-92b4-6833-da6482d0c0f1}.dll" DllInit
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\Metreau\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
O4 - HKCU\..\Run: [91920645654042828511477797697963] C:\Program Files\XP Antivirus\xpa.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\scntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Notebook Card Client Utility.lnk = ?
O4 - Global Startup: .protected
O4 - Global Startup: PowerReg Scheduler.exe
O5 - control.ini: inetcpl.cpl=no
O5 - control.ini:?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\christine b\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O10 - Broken Internet access because of LSP provider 'spsublsp.dll'
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=?
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FA4FEE-F05E-41BE-93CA-FF4A1067818B}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{79C9E847-7FB5-4DE4-A2AD-EE8620B598D2}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F8FA1DF-EF8A-4B1B-9D7A-8F799D7DDA83}: NameServer = 85.255.116.107,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.107 85.255.112.83
O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll
O20 - Winlogon Notify:i042laho1d4c.dll- C:\WINDOWS\system32\i042laho1d4c.dll
O21 - SSODL: UnknownUnknown - {92788c02-cb76-4ca8-a86b-5601341268d2} - C:\WINDOWS\Resources\UnknownUnknown.dll
O21 - SSODL: adgpfoxs - {B21A49CE-2C9F-4347-915A-71126C5C8814} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {8C69CF5A-E416-4BE8-9C78-425E1DE73A46} - C:\WINDOWS\erpobmsw.dll (file missing)
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtvirl63.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\ffi.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2hyaXN0aW5l\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
O24 - Desktop Component 1: (no name) - %Windir%\werco.htm
13 réponses
Salut
Wahou, vu le nombre d'infections, tu métonnes. Ou surfes tu? Sites de cracks, sites X???
Ton Windows est cracké?
Tu as accès au mode normal?
Sinon, commence tout de même par là:
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
A+
Wahou, vu le nombre d'infections, tu métonnes. Ou surfes tu? Sites de cracks, sites X???
Ton Windows est cracké?
Tu as accès au mode normal?
Sinon, commence tout de même par là:
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
A+
Bonjour Regis59,
Merci pour ta reponse rapide.
J´ai fais ce que tu m´as demandé...
[b]SDFix: Version 1.188
Run by Administrateur on 2008-06-07 at 18:15
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services :
[b]Name :
cmdService
kbd
Network Monitor
[b]Path :
C:\WINDOWS\Y2hyaXN0aW5l\command.exe
\??\C:\WINDOWS\system32\drivers\kbd.sys
C:\Program Files\Network Monitor\netmon.exe service
cmdService - Deleted
kbd - Deleted
Network Monitor - Deleted
[b]Name /b:
astq
Driver
FFI
nested
ztx86
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
[b]Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\rqRJDtUO.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\asappsrv.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\command.exe - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\sZ1VurhXuqc5.vbs - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\Temp\vtmp2\ktnv33.log - Deleted
C:\WINDOWS\system32\vntiho01\vntiho011065.exe - Deleted
C:\WINDOWS\system32\Z1\hdpars11.exe - Deleted
C:\Program Files\JavaCore\JavaCore.exe - Deleted
C:\Program Files\JavaCore\UnInstall.exe - Deleted
C:\Program Files\Spcron\Spc.dll - Deleted
C:\Program Files\Temporary\WnInt.exe - Deleted
C:\WINDOWS\b152.exe - Deleted
C:\WINDOWS\b155.exe - Deleted
C:\WINDOWS\b156.exe - Deleted
C:\WINDOWS\mrofinu1000106.exe - Deleted
C:\WINDOWS\mrofinu572.exe - Deleted
C:\Program Files\Network Monitor\netmon.exe - Deleted
C:\WINDOWS\system32\atmtd.dll - Deleted
C:\WINDOWS\system32\atmtd.dll._ - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32\rwwnw64d.exe - Deleted
C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
C:\WINDOWS\uninstall_nmon.vbs - Deleted
C:\WINDOWS\system32\drivers\kbd.sys - Deleted
Folder C:\Program Files\InetGet2 - Removed
Folder C:\Program Files\JavaCore - Removed
Folder C:\Program Files\Network Monitor - Removed
Folder C:\Program Files\Spcron - Removed
Folder C:\Program Files\Temporary - Removed
Folder C:\Documents and Settings\LocalService\Application Data\NetMon - Removed
Folder C:\Temp\1cb - Removed
Folder C:\Temp\vtmp2 - Removed
Folder C:\WINDOWS\system32\vntiho01 - Removed
Folder C:\WINDOWS\system32\Z1 - Removed
Removing Temp Files
[b]ADS Check :
[b]Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2008-06-05 17:56:12
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services :
Authorized Application Key Export:
[b]Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes :
[b]Finished!
-----------------------------------------------------------------------------
Ha ha,
Salut Quentin`
C´est sur toi que c´est tombé LoL`
En tout cas chapeau, pour ton temps de reaction (13 minutes > sa porte bonheur)...
Vouloir s´attaquer a une infection de la sorte > chapeau bas ;-)
J´en perd mon chapeau du coup ?!
Enfin voila, on s´amuse comme on peut...
Dbisoux`
@+
Merci pour ta reponse rapide.
J´ai fais ce que tu m´as demandé...
[b]SDFix: Version 1.188
Run by Administrateur on 2008-06-07 at 18:15
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services :
[b]Name :
cmdService
kbd
Network Monitor
[b]Path :
C:\WINDOWS\Y2hyaXN0aW5l\command.exe
\??\C:\WINDOWS\system32\drivers\kbd.sys
C:\Program Files\Network Monitor\netmon.exe service
cmdService - Deleted
kbd - Deleted
Network Monitor - Deleted
[b]Name /b:
astq
Driver
FFI
nested
ztx86
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
[b]Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\rqRJDtUO.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\asappsrv.dll - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\command.exe - Deleted
C:\WINDOWS\Y2hyaXN0aW5l\sZ1VurhXuqc5.vbs - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\Temp\vtmp2\ktnv33.log - Deleted
C:\WINDOWS\system32\vntiho01\vntiho011065.exe - Deleted
C:\WINDOWS\system32\Z1\hdpars11.exe - Deleted
C:\Program Files\JavaCore\JavaCore.exe - Deleted
C:\Program Files\JavaCore\UnInstall.exe - Deleted
C:\Program Files\Spcron\Spc.dll - Deleted
C:\Program Files\Temporary\WnInt.exe - Deleted
C:\WINDOWS\b152.exe - Deleted
C:\WINDOWS\b155.exe - Deleted
C:\WINDOWS\b156.exe - Deleted
C:\WINDOWS\mrofinu1000106.exe - Deleted
C:\WINDOWS\mrofinu572.exe - Deleted
C:\Program Files\Network Monitor\netmon.exe - Deleted
C:\WINDOWS\system32\atmtd.dll - Deleted
C:\WINDOWS\system32\atmtd.dll._ - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32\rwwnw64d.exe - Deleted
C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
C:\WINDOWS\uninstall_nmon.vbs - Deleted
C:\WINDOWS\system32\drivers\kbd.sys - Deleted
Folder C:\Program Files\InetGet2 - Removed
Folder C:\Program Files\JavaCore - Removed
Folder C:\Program Files\Network Monitor - Removed
Folder C:\Program Files\Spcron - Removed
Folder C:\Program Files\Temporary - Removed
Folder C:\Documents and Settings\LocalService\Application Data\NetMon - Removed
Folder C:\Temp\1cb - Removed
Folder C:\Temp\vtmp2 - Removed
Folder C:\WINDOWS\system32\vntiho01 - Removed
Folder C:\WINDOWS\system32\Z1 - Removed
Removing Temp Files
[b]ADS Check :
[b]Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2008-06-05 17:56:12
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services :
Authorized Application Key Export:
[b]Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes :
[b]Finished!
-----------------------------------------------------------------------------
Ha ha,
Salut Quentin`
C´est sur toi que c´est tombé LoL`
En tout cas chapeau, pour ton temps de reaction (13 minutes > sa porte bonheur)...
Vouloir s´attaquer a une infection de la sorte > chapeau bas ;-)
J´en perd mon chapeau du coup ?!
Enfin voila, on s´amuse comme on peut...
Dbisoux`
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
On s´amuse comme on peu...
J´ai recupéré sur mes topiks les pires infections possibles et les ai centralisés sur ce hijack this...
J´ai recupéré sur mes topiks les pires infections possibles et les ai centralisés sur ce hijack this...
Arf lol tu sais que j'ai pas que cela a traité? Tu crois que j ai du temps à perdre?
Finalement rien de concret !!
:-(
Finalement rien de concret !!
:-(
