SOS SUIS VEROLE PAR WIN32

[pichounelou]

Bonjour tout le monde voici mes deboires depuis hier soir, c'est un peu long mais je sais vraiment plus quoi faire!!! GROS GROS SOS... Voici le début:

 

 

j'étais sur un site de telechargement de jeux video, et on ma demande via mon parefeu d'ouvrir la session windows NT, chose réalisé,

puis j'ai eu des icones qui sont apparus sur mon bureau, imitation bouclier securité windows, et maintenant lorsque j'ouvre mon pc j'ai spytrooper qui lance une analyse. il me dit que je suis verole comme une bete!

Quand j'ouvre internet j'ai une page qui me dit ca:

 

Recommended Anti-Spyware Software: Spy Trooper, Spy Axe, Spy Guard Online Security

 

 

Spy Trooper

Most popular spyware/adware cleaner software all over the world. Cleans all known viruses and worms.

 

• Visit Website • Free Scan

 

Spy Axe

Became one of the most popular programs very fast. It`s really easy to use and at the same time very effective.

 

• Visit Website • Free Scan

 

The SpyGuard

Developed as the most efficient spyware cleaner with realtime protection.

 

• Visit Website • Free Scan

 

Attention! Your system is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folders on your PC:

- \WINDOWS\System32

- \Program Files\Internet Explorer

- \My Documents

- Drive C:\ files

Click here to download official anti-spyware software

 

 

Your private info is collected by W32.Sinnaka.A@mm

Your IP address: 62.34.198.85

 

Your Country: FR, France

 

They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

 

Operation System: OS Windows

 

Risk status for futher investigation: VERY HIGH RISK

 

Time of investigation: Thu Dec 22 8:49:07 PST 2005

 

 

 

Spy Axe

• Over 40,000 threats in the database

• Exclusive algorythm of cleaning

• IE Safe Mode - simply cleans your browser!

• Manual / automatic update system

• Autostart items / IE Objects / Running Processes manager

• Dialer blocker, Popup blocker

 

• Visit Website • Free Download Spy Trooper

• Daily updated threat databases

• Intelligent threat scanner

• Application advanced firewall

• IE security improvements

• Advanced system securty features

• Multiple scan options (fast / normal / deep)

 

• Visit Website • Free Download

 

J'ai reussi a supprimer spytrooper mais son scan revient a chaque demarrage et ce message aussi, ma page d'accueil est folle!

il doit avoir infection dans windows syst32!

 

AU SECOURS!!!

 

suite...

 

VIRUS DETRUIT! OUF, solution trouvée

j'ai lancéet téléchargé ce petit logiciel "SMITFRAUD" c'ets vraiment un petit logiciel magifique a condition de bien l'utiliser en mode sans echec!

Lancé SMITFRAUD, spybot, ccleaner et adware et mode sans echec et virus detruit, desinfecté, je suis tjs sur l'eau qui vive bien sur...

Merci a tous!!!

 

suite...

1er rapport de smitfraudfix

SmitFraudFix v2.08

 

Rapport fait à 12:35:32,70 le 23/12/2005

Executé à partir de C:\Documents and Settings\Propri‚taire.NOM-OGL2XDJJQAE\Bureau\pichounelou\fichier recu\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Propri‚taire.NOM-OGL2XDJJQAE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

suite ...

 

2eme rapport

 

SmitFraudFix v2.08

 

Rapport fait à 12:36:34,70 le 23/12/2005

Executé à partir de C:\Documents and Settings\Propri‚taire.NOM-OGL2XDJJQAE\Bureau\pichounelou\fichier recu\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

suite...

 

ET VOICI LE RAPORT HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 12:39:02, on 23/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\VM_STI.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\System32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\McAfee.com\VSO\mcmnhdlr.exe

c:\program files\mcafee.com\shared\mghtml.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Propriétaire.NOM-OGL2XDJJQAE\Bureau\pichounelou\fichier recu\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: (no name) - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...650/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F7A049-D098-4D87-83BA-B1DE55EA9551}: NameServer = 194.117.200.10 194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

 

meri de votre aide svp !!!

[pichounelou]

une solution???

[pichounelou]

une solution?

[Invité Stonangel]

Bonjour,

 

Télécharge ce fichier sur le bureau.

 

Extraie et double clique Fix_Protocol_zones_ranges.reg. Accepte lorsqu'il te demande de fusionner avec le registre.

 

Redémarre et suis cette procédure

[Tit@n]

bonjour à toi l'infecté

 

 

j'ai cherché de mon côté et pas trouvé grand chose sur les clés / processus identifié/ applicatif qui pointe sur W32.Sinnaka.A@mm

 

dis moi si j'ai bien compris :

t'as viré l'infection et tu veux savoir si ton log (bas de ton post) est clean ?

 

déjà pour ma part j'aurai changé d"antivirus si j'etait à ta place en prennant AVAST HOME FREE edition à la place de ton McAfee .

 

Ensuite faut faire une recherche sur tous les .EXE et .DLL indiqué dans le log HIJACKTHIS afin de trouver l'intrus (il va de soit que par habitude certains sont reconnu par l'utilisateur avancé comme faisant parti du system)

 

et pour finir :

 

Theoriquement l'antispy devrait pointer(chemin) vers le/les modules /applicatifs infectés afin de les virer .

et il serait bien de le formuler dans le post afin de nous epargner de longue recherche .

Spybot - Search & Destroy et Spy Sweeper devrait en venir à bout .

 

faut dire qu'il m'a été penible de comprendre ton post : suis-je mal reveillé

 

Bonjour tout le monde voici mes deboires depuis hier soir, c'est un peu long mais je sais vraiment plus quoi faire!!! GROS GROS SOS... Voici le début:

suite...

VIRUS DETRUIT! OUF, solution trouvée

suite...

log HIJACKTHIS

meri de votre aide svp !!!

Modifié le 23 décembre 2005 par Tit@n

[Tit@n]

Juste pour info :

 

j'ai remarqué une chose intéressante:

 

si un ver à réussi a s'installer dans une install sans que l'antivirus ne l'ai pas chopper d'immédiat ; quand on fait un SCAN avec Spybot - Search & Destroy AYANT AVAST comme antivirus pendant ce fameux Scan, AVAST lui aussi accompagne la procédure et trouvera l'infection .

 

normalement l'antivirus devrait mettre la main dessus tous seul mais dans certains cas cela n'est point le cas et à vrai dire jne sais pas bien pourquoi cela se produit.

 

donc conclusion :

1/AVAST n'accompagne pas très bien un pack d'installation.

2/Spybot - Search & Destroy et Avast cohabitent excellemment bien ensemble.

[Tit@n]

ton log effectivement contient des activités pas clair et donc a fixer

 

le fix que te demande de faire Stonangel est imperatif à executer pour reparer et fixer:

 

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

 

puis après faudra fixer :

d'abord terminer cette tache puis effacer

C:\WINDOWS\ALCXMNTR.EXE

 

fixer :

O3 - Toolbar: (no name) - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - (no file)

 

vlà ce qu'il faut faire

[Invité Stonangel]

Réponse donnée ici:

http://assiste.forum.free.fr/viewtopic.php?t=9811

[ipl_001]

Bonsoir pichounelou, stonangel, Tit@n, bonsoir à tous,

 

Tit@n, encore une fois, il est absolument INUTILE d'intervenir dans une discussion dans laquelle tu trouves un Conseiller en Sécurité (que ce soit Stonangel, Jack_Burton ou un autre) !

Tes interventions multiples n'aboutissent qu'à troubler l'internaute infecté !

Tu as 20 posts sur Zebulon et tu t'es déjà fait remarquer 2 fois !

 

Veux-tu bien s'il te plaît, observer le forum avant de poster de manière à connaître nos habitudes !

 

Non, il n'est pas interdit de poster mais fais le à bon escient... fais quelques progrès avant !

 

pichounelou, comme te le fait remarquer stonangel, en postant sur Assiste après l'avoir sollicité sur Zebulon, tu lui fais perdre son temps ! Ce n'est pas très correct !