Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

SOS:Infection très grave

cinqz

Par cinqz
dans Analyses et éradication malwares

 Partager

Messages recommandés

cinqz Junior Member

cinqz

Posté(e)
Posté(e)

Bonjour, depuis quelques temps, j'ai un virus qui modifie automatiquement la page d'accueil de IE en http://coolpics.com et desactive la zone de changement. De plus, Il restreint automatiquement l'accès à la base de registre et l'ouverture du gestionnaire de tâches.

Jèai téléchargé de la zone de téléchargement un utilitaire qui modifie les droits de la base de registre mais à chaque reboot, le virus modidie encore les paramétres. Pire ces jours mes mails de yahoo ne s'affichent plus dans IE sauf dans Mozilla que j'ai finalement installé. De plus, j'ai l'impression que lorsque je rempli un formulaire, ou surtout quand je valide, j'ai la perte du focus pendant un bout de temps où c'est comme si il ya un programme virtuel qui s'executait avant de me rendre le focus.

De plus en plus, la machine aussi ralenti.

Par ailleurs j'ai des traces de kaspersky 6 que je veut desinstaller qui bloque à un niveau.

Voici mon rapport HijackThis et j'éspère que vous allez m'aider à le decrypter:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:24:47, on 22/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe

C:\recycled\SVCHOST.exe

C:\recycled\SPOOLSV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\recycled\CTFMON.EXE

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\dllcache\ivchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Thomson SpeedTouch\ST330\diagnostics\diagnostics.exe

C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe

C:\WINDOWS\system\svchost.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\wbem\scricon.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thecoolpics.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\recycled\SVCHOST.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {06BB5175-F75B-43DA-AFA2-2025045361A8} - C:\WINDOWS\System32\mlljk.dll

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\System32\ttrgsetm.dll

O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\ssqrsro.dll

O2 - BHO: (no name) - {F8917260-71A1-4AC9-825D-B49E74CC356c} - C:\WINDOWS\System32\xjxcnggn.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [diagnostics] "C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:fr

O4 - HKLM\..\Run: [Windows Service Agent] annooa.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun

O4 - HKLM\..\Run: [CTFM0N] svc386.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system\svchost.exe

O4 - HKLM\..\Run: [Yahoo Messenger] C:\WINDOWS\system\svchost32.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe

O4 - HKLM\..\Run: [mmsass] mmdmm.exe

O4 - HKLM\..\Run: [searchIndexer] rundll32.exe "C:\WINDOWS\System32\nfkdalhc.dll",sitypnow

O4 - HKLM\..\RunServices: [Windows Service Agent] annooa.exe

O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe

O4 - HKLM\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKCU\..\Run: [Windows Service Agent] annooa.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O4 - HKCU\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{FB82654F-CA27-4D54-947A-DAFDA22E5F1F}: NameServer = 195.24.192.33 195.24.208.2

O20 - Winlogon Notify: mlljk - C:\WINDOWS\System32\mlljk.dll

O20 - Winlogon Notify: ssqrsro - C:\WINDOWS\SYSTEM32\ssqrsro.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\tfbmoyti.exe (file missing)

O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe

O23 - Service: Service for Windows 32Bit Based Applications (Srv386app) - Unknown owner - C:\WINDOWS\System32\svc386.exe (file missing)

O23 - Service: Service for Windows 32-Bit Based Applications (srvW1Nthirtytwo) - Unknown owner - C:\WINDOWS\System32\svci386.exe (file missing)

O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe

 

Merci de m'aider

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour cinqz :P

 

Ton PC est hyper infecté et ton système d'exploitation risque d'être endommagé déjà. Tu n'as que le SP1 d'installé, donc XP est vulnérable à toutes sortes d'infections. Je vois plusieurs Bots (trojans qui peuvent installer des backdoors) en plus de Vundo qui génère des pubs. Sans les plus récentes mises à jour pour XP (SP2 minimum), ton ordi sera facilement réinfecté... Si ton XP n'est pas une version légitime, tu ne pourras pas installer le SP2.

 

Avec les infections présentes, il est quasi incroyable de constater que l'ordi tourne toujours. Face à ces constats, je dois te dire qu'un formatage est la seule solution sûre. Nous pouvons tenter un nettoyage, mais les outils risquent de ne pas tout voir vu la présence probable de rootkits. S'il y a déjà des dégâts à l'OS, nous ne pourrons tout réparer. Je te conseille donc de sauvegarder l'essentiel de tes données et ensuite de formater. Si tu n'as pas de clé valide pour XP, il serait temps de t'en procurer une.

 

Si tu insistes pour une tentative de nettoyage, nous pouvons essayer mais sans rien promettre. Possible que la bécane plante durant la désinfection, vu la multitude d'infections sévères, donc fais tes sauvegardes au préalable.

 

D'ici la conclusion de cette histoire, assure-toi de déconnecter ce PC d'Internet sauf pour venir ici, car il est fort possiblement contrôlé à distance (backdoors) et peut spammer/attaquer à tout moment sans que tu ne le saches ; le terme "zombie" est approprié dans une telle situation...

 

En attente de ta décision..

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...