Gros probleme Virtumonde & cie

[capt.atomix]

Bonjour tout le monde!

J attends les ordres

[Thanos]

salut

 

On va retenter l'opération avec SmitFraudFix >

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 5
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

poste avec ca un rapport hijackthis fait comme ceci >

 

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

@++

Modifié le 30 octobre 2007 par charles ingals

[capt.atomix]

Voici les 2 rapports

 

SmitFraudFix v2.244

 

Rapport fait à 14:49:33,00, mar. 30/10/2007

Executé à partir de C:\Documents and Settings\Olivier\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

 

Description: VIA Rhine III Fast Ethernet Adapter - Miniport d'ordonnancement de paquets

DNS Server Search Order: 208.67.220.220

DNS Server Search Order: 208.67.222.222

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 195.238.2.22

DNS Server Search Order: 195.238.2.21

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer=195.238.2.22 195.238.2.21

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer=195.238.2.22 195.238.2.21

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

 

Description: VIA Rhine III Fast Ethernet Adapter - Miniport d'ordonnancement de paquets

DNS Server Search Order: 208.67.220.220

DNS Server Search Order: 208.67.222.222

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 195.238.2.22

DNS Server Search Order: 195.238.2.21

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer=195.238.2.22 195.238.2.21

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer=195.238.2.22 195.238.2.21

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{0CBAFBCB-7C84-44BB-AFEC-B7F732B75AE0}: DhcpNameServer=208.67.220.220 208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{22CC468A-2764-4A2B-BEFB-69EB6DEB688A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{730F20E7-D465-45E1-A6F4-43A2FEAD7363}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{A7B7D3FD-FADF-499F-A01D-E0DAFCC50F6A}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2C564DA-075F-487F-BEA8-9F97DBEE7D11}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS3\Services\Tcpip\..\{DFFAE8C1-82E6-401E-B415-301BC4A962BA}: DhcpNameServer=208.67.220.220,208.67.222.222

 

StartupList report, 30/10/2007, 14:52:51

StartupList version: 1.52.2

Started from : C:\Program Files\Trend Micro\scanner\scanner.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v7.00 (7.00.6000.16544)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\scanner\scanner.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

nwiz = nwiz.exe /install

Raccourci vers la page des propriétés de High Definition Audio = HDAudPropShortcut.exe

Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd

Dit = Dit.exe

AGRSMMSG = AGRSMMSG.exe

SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

TkBellExe = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

avgnt = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

SunJavaUpdateSched = C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

ZoneAlarm Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background

WMPNSCFG = C:\Program Files\Windows Media Player\WMPNSCFG.exe

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll

CODEBASE = http://fpdownload.macromedia.com/get/shock...director/sw.cab

 

[Office Update Installation Engine]

InProcServer32 = C:\WINDOWS\opuc.dll

CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab

 

[WUWebControl Class]

InProcServer32 = C:\WINDOWS\system32\wuweb.dll

CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1097702632093

 

[MUWebControl Class]

InProcServer32 = C:\WINDOWS\system32\muweb.dll

CODEBASE = http://update.microsoft.com/microsoftupdat...b?1159699749516

 

[{B1826A9F-4AA0-4510-BA77-9013E74E4B9B}]

CODEBASE = http://www.trendmicro.com/spyware-scan/as4web.cab

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx

CODEBASE = http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

 

--------------------------------------------------

End of report, 6.171 bytes

Report generated in 0,063 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

[Thanos]

re!

 

Ok le résultat est bon

J ai vire le fichier C:\WINDOWS\NirCmd.exe comme tu m as dit. C etait ca qui faisait revenir cette fameuse ligne 17? Ou alors on ne sait pas a quoi c est du?

non en fait ce fichier est installé par ComboFix (à nettoyer puique tu as aussi éliminé le programme).

 

Refais un scan hijackthis (inutile de poster le rapport) et dis moi si cette ligne 017 (qui commence comme ceci > 85.255. etc) est revenue

[capt.atomix]

Elle est toujours la et elle me nargue

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{77D471C2-BFB4-415A-9C12-8C549D6A31B4}: NameServer = 195.238.2.22 195.238.2.21

 

Une idee?

Modifié le 30 octobre 2007 par capt.atomix

[capt.atomix]

Je viens de remarquer un truc avec cette fameuse ligne 17 depuis que j ai installe zonealarm. Des que je la fixe avec hijackthis, je suis dans l incapacite de consulter des pages web. Je suis oblige de relancer ma connexion pour y remedier. Mais aussitot apres avoir relancer ma connexion, la ligne 17 reapparait... Je sais pas si ca peut faire avance le schmilblick mais je prefere le signaler.

[Thanos]

salut

 

C'est bien ce que je pensais...on s'est mal compris depuis ton message à 00h19 !!

Seule ces adresses DNS étaient mauvaises (85.255.114.99 85.255.112.229) >

C'est ce que je tentais de te dire ici, mais je me suis mal expliqué >

Refais un scan hijackthis (inutile de poster le rapport) et dis moi si cette ligne 017 (qui commence comme ceci > 85.255. etc) est revenue

L'adresse qui apparait sous la nouvelle ligne 017 est bonne!! > 195.238.2.22

C'est l'adresse de ton fournisseur d'accès internet > SKYNET-Belgacom

Donc c'est tout bon

 

Elimine le dossier sur ton bureau > SmitFraudFix ainsi que le fichier SmitFraudFix.exe.

 

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Comment fonctionne ton pc ?

 

@+

Modifié le 30 octobre 2007 par charles ingals

[capt.atomix]

C'est bien ce que je pensais...on s'est mal compris depuis ton message à 00h19 !!

Seule ces adresses DNS étaient mauvaises (85.255.114.99 85.255.112.229) >

C'est ce que je tentais de te dire ici, mais je me suis mal expliqué >

 

CITATION

Refais un scan hijackthis (inutile de poster le rapport) et dis moi si cette ligne 017 (qui commence comme ceci > 85.255. etc) est revenue

 

L'adresse qui apparait sous la nouvelle ligne 017 est bonne!! > 195.238.2.22

C'est l'adresse de ton fournisseur d'accès internet > SKYNET-Belgacom

Donc c'est tout bon

 

Arf! Desole j ai mal compris. Remarque je suis rassure car je commencais a attraper pas mal de cheveux gris

 

Comment fonctionne ton pc ?

 

Mon pc tourne bien. Il ramait car je supprimais sans arret la ligne 17 . Ca va beaucoup mieux maintenant.

Neanmoins, j ai toujours des betes d apres Spybot. Notemment un truc du nom de 2search. D apres une breve recherche sur le net, j ai vu qu il s agissait d une sorte de spy qui redirige les recherches google. Le truc c est que Spybot le trouve mais ne parvient pas a le supprimer definitivement...

Je refais un scan et je te post ce qu il me trouve. A tout de suite.

[Thanos]

oui, poste le rapport de Spybot S&D pour voir ce qu'il a trouvé

[capt.atomix]

Il a trouve 2 spy:

 

BlueStreak

et

DoubleClick

 

2Search n a pas ete detecte mais je parie que si je lance un scan d ici 1h je le trouverai :'(