profusion de spywares

[dudu64]

Salut,

je suis infecté de spywares qui s'ouvrent toutes les 10 secondes et qui me bloquent tout accès à firefox

Voici le rapport de Hijack This

Merci de me dire ce qui infecte mon ordi

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:38:56, on 17/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe

C:\WINDOWS\System32\Com\wssc.exe

C:\WINDOWS\help\rundll32.exe

C:\Program Files\Trend Micro\Tmas\Tmas.exe

C:\Program Files\Hotmail Popper\hotpop.exe

C:\Program Files\Mozilla Firefox\firefox.exe

c:\dfndrff_e32.exe

c:\kybrdff_e32.exe

c:\nwnmff_e32.exe

C:\WINDOWS\anA\command.exe

C:\Program Files\Network Monitor\netmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Jean-Pierre\Mes documents\Telechar\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)

F2 - REG:system.ini: UserInit=userinit.exe

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [Microsoft ® Windows Network Latency Controller] C:\WINDOWS\system32\nlc.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Windows Security Component] C:\WINDOWS\System32\Com\wssc.exe

O4 - HKLM\..\Run: C:\WINDOWS\help\rundll32.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrff_e32.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e32.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmff_e32.exe

O4 - HKLM\..\RunServices: [Windows Security Component] C:\WINDOWS\System32\Com\wssc.exe

O4 - Startup: Hotmail Popper.lnk = C:\Program Files\Hotmail Popper\hotpop.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1161024839733

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ir0ml5d11.dll

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\anA\command.exe

O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Windows Network Latency Controller (nlc) - Unknown owner - C:\WINDOWS\system32\nlc.exe (file missing)

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

[bruce lee]

bonjour dudu64 et bienvenue sur zebulon

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

[bubulegros]

T'es sur sur que ce sont des spywares et pas des pop-ups?Qu'affiche donc comme genre ton ecran?

[dudu64]

bonjour dudu64 et bienvenue sur zebulon

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

[dudu64]

Bonsoir

Suite à la demande de Bruce Lee

je t'envoie le rapport de Hijack this et le rapport de Look2me

Merci

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:52:21, on 19/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Jean-Pierre\Mes documents\Telechar\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [Microsoft ® Windows Network Latency Controller] C:\WINDOWS\system32\nlc.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Windows Security Component] C:\WINDOWS\System32\Com\wssc.exe

O4 - HKLM\..\Run: C:\WINDOWS\help\rundll32.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e33.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e33.exe

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e33.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunServices: [Windows Security Component] C:\WINDOWS\System32\Com\wssc.exe

O4 - HKCU\..\Run: [Network Connections] C:\WINDOWS\help\internat.exe

O4 - Startup: Hotmail Popper.lnk = C:\Program Files\Hotmail Popper\hotpop.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1161024839733

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\anA\command.exe (file missing)

O23 - Service: Generic Host Process for Win32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Network Latency Controller (nlc) - Unknown owner - C:\WINDOWS\system32\nlc.exe (file missing)

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe (file missing)

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: Snake SockProxy Service (SkServer) - Unknown owner - C:\WINDOWS\help\svchost.exe (file missing)

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe (file missing)

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe (file missing)

 

 

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

Scan started at 19/10/2006 21:44:11

 

Infected! C:\WINDOWS\system32\k880lilm18qa.dll

 

Attempting to delete infected files...

 

Making registry repairs.

 

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WindowsUpdate

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{CB3B8729-59F9-4213-9180-006C3BE9B5E1}"

HKCR\Clsid\{CB3B8729-59F9-4213-9180-006C3BE9B5E1}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9671852F-D053-486D-92A9-9D589367A42A}"

HKCR\Clsid\{9671852F-D053-486D-92A9-9D589367A42A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3A633325-CCFA-41A5-8EF7-51895FF10160}"

HKCR\Clsid\{3A633325-CCFA-41A5-8EF7-51895FF10160}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3C29A630-1466-43C1-A28A-9DCA727B9FBE}"

HKCR\Clsid\{3C29A630-1466-43C1-A28A-9DCA727B9FBE}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B575DB8C-8980-49B2-8089-EC8069D154F7}"

HKCR\Clsid\{B575DB8C-8980-49B2-8089-EC8069D154F7}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DDEE18BD-11D8-48B8-838B-F929D5BECD28}"

HKCR\Clsid\{DDEE18BD-11D8-48B8-838B-F929D5BECD28}

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

[bruce lee]

bonjour dudu64

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

 

http://metallica.geekstogo.com/alcanshorty.bfu fais un clic droit sur le lien et choisis

 

"Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica)

 

**Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi

 

que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux

 

fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe (très important).

 

 

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8;

 

tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier,

 

choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel,

 

et non Administrateur.

 

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\alcanshorty.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

redemare en mode normal et poste un nouveau rapport hijackthis.

 

@+