Forums Zebulon.fr: trojan, spyware, virus ? rapport hijack this - Forums Zebulon.fr

Bonjour,

je pense etre infecté par un trojan ou un spyware, sur mon bureau j'ai un gran écran rouge qui se superpose à mon bureau, avec écrit en grand

"danger, spyware,
Full system scan results:

3 Spyware infections
27 Spyware tracks
95 Adult-oriented websites tracks
3 Programs with probable keylogging activity"

Voici le log hijack this :


Qui peut m'aider !!!

Logfile of HijackThis v1.99.1
Scan saved at 20:46:33, on 04/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cleanmgr.exe
C:\Program Files\EasyCleaner\EasyClea.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fft.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfam...IZ/npaecviz.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Bonsoir maxo et bienvenue sur le forum zeb-sécu !

Suit la procédure de pré-nettoyage de Mégataupe

megataupe, le mercredi 22 juin 2005 à 22h08, dit :

Bon courage et tiens nous au courant à plus !

Bonsoir et bienvenu sur le forum sécurité de zebulon,

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.sub.../Fixwareout.exe
http://swandog46.gee.../Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

<O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112>

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Merci jack !

Voici le rapport fiw ware out, puis le log hijack this :


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
...

Microsoft ® Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32
{9BEC52FE-2C8E-42C4-94B3-D8AA541F6F48}.exe
{78D946C2-12FB-4C98-9700-4AAB9CAB0321}.exe
{F7D089D7-4837-4719-969B-7EB9EE481DA3}.exe
{706E32AB-1BEF-4C25-8431-AF057A6E01D3}.exe
{5BBC88BD-FAFF-4F92-A7B0-99A90CB06B35}.exe
{55F4C92E-B8BB-4B45-807C-2D3B298C6397}.exe
{CEDE3D1E-F2A9-4FC6-9112-175B2910ED48}.exe


---------------------------------------------------------------------

hijack this :

Logfile of HijackThis v1.99.1
Scan saved at 21:03:40, on 04/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfam...IZ/npaecviz.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154717268671
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Ce message a été modifié par maxo - 04 août 2006 - 08:04 .

C'est beaucoup mieux. L'infection Wareout est supprimée.

Je vois que tu as Ewido. C'est parfait.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur Update Now,
attend la fin de cette mise à jour,
puis ferme le programme.

Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée .
Choisis ton compte usuel (et non Administrateur).

Relance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.

A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.
Redémarre en mode normal.
poste le rapport dans ta réponse.


PS : je ne vois aucun firewall (parfeu) sur ce rapport. Si tu n'en as pas, je te conseille vivement d'en installer un. C'est indispensable pour assurer sa protection sur Internet. Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature avec des tutos pour les configurer.

Ce message a été modifié par Jack_Burton - 04 août 2006 - 08:12 .

J'ai fait ewido, voilà le rapport !

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 21:45:29, 04/08/2006
+ Somme de contrôle: B9640E84

+ Résultats du scan:

C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Cookies\admin@com[1].txt -> TrackingCookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Cookies\admin@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Cookies\admin@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@ivwbox[2].txt -> TrackingCookie.Ivwbox : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-789336058-1275210071-839522115-1004\Dc4.exe -> Hijacker.Small : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-789336058-1275210071-839522115-1004\Dc5.exe -> Adware.Msnagent : Nettoyer et sauvegarder
C:\WINDOWS\desktop.html -> Not-A-Virus.Hoax.Win32.Aflac.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\{55F4C92E-B8BB-4B45-807C-2D3B298C6397}.exe -> Adware.Raze : Nettoyer et sauvegarder
C:\WINDOWS\system32\{706E32AB-1BEF-4C25-8431-AF057A6E01D3}.exe -> Adware.Casino : Nettoyer et sauvegarder
C:\WINDOWS\system32\{CEDE3D1E-F2A9-4FC6-9112-175B2910ED48}.exe -> Adware.Msnagent : Nettoyer et sauvegarder


::Fin du rapport

Ok, terminons par un petit scan en ligne :
Fais un scan en ligne avec Kapersky WebScanner

Clique sur Kaspersky Online Scanner

On va te demander d'installer un contrôle ActiveX ,clique sur Yes.

* Le programme va démarrer et télécharger les dernières mises à jour:
* une fois la mise à jour terminée,clique sur NEXT
* clique sur Scan Settings
* Dans le menu du scan assure toi que les éléments suivants sont sélectionnés:
o Scan using the following Anti-Virus database:
Extended (si possible,sinon:Standard)
o Scan Options:
Scan Archives
Scan Mail Bases
* Clique sur OK
* A présent sous "select a target to scan":
choisis My Computer
* Le programme va se lancer et scanner ton systeme.
* Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté.
o A présent clique sur le bouton "Save":
* Sauvegarde le fichier sur ton bureau.
* Copie/colle le contenu dans ton prochain message.

PS : as tu installé un firewall?

Ce message a été modifié par Jack_Burton - 04 août 2006 - 08:53 .

ok, pour l'antivirus en ligne kapersky, je ne trouve pas le lien ou le bouton "Kaspersky Online Scanner" sur la page, où ca se trouve ???

Sinon j'avais le même problème que ce gars : http://www.commentcamarche.net/forum/affic...-plan-de-bureau

c'est à dire une page html qui squatte mon bureau, j'ai fait smitfraudfix comme indiqué dans ce forum, voici le log avant, et après.

En tout cas ça a marché, je vois mon bureau maintenant !


avant :

SmitFraudFix v2.79

Rapport fait à 22:02:37,89, 04/08/2006
Executé à partir de C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\gimmygames.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMIN~1.ADM\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"
"SubscribedURL"="C:\\WINDOWS\\desktop.html"
"FriendlyName"="Security"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

----------------------------------------------------------------------------------------------------------

après :

SmitFraudFix v2.79

Rapport fait à 22:05:37,45, 04/08/2006
Executé à partir de C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\gimmygames.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Pour le firewall, je n'en ai pas...
Lequel me conseilles-tu ?

Citation

Oups, mes "discours en boite" sont périmés . Il faut cliquer sur Online Virus Scanner

Ce message a été modifié par Jack_Burton - 04 août 2006 - 09:28 .