infection par un spyware windows security alert

[100205]

bonjour,

 

suite à une infection , apparait sur mon écran un faux message de sécurité: windows security alert. Warning potential spyware operation,...qui me redirige sur un site qui n'est pas celui de Windows : http://gomyhit.com/MTc3MTY=/2/6018/629/ ;par ailleurs je n'ai plus accès au gestionnaire de tâches ni à l'ajout suppression de programmes;

Mon PC dispose d'Awast, de Spyboat et d'AVG antispyware.

J'ai fait un rapport Hyjackthis :

Logfile of HijackThis v1.99.1

Scan saved at 17:43:53, on 14/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\proper.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {BB829E3E-E251-4649-A595-B0FF128A1B3C} - C:\WINDOWS\system32\ds16g.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - (no file)

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: infos.exe

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: autos.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D63144F5-64A5-42A0-B5F0-279389CCD9EF}: NameServer = 212.27.32.176,212.27.32.177

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

pourriez vous m'aider?

Merci d'avance .

Alain

[XmichouX]

Salut,

 

Télécharge SmitfraudFix (de S!ri)

Enregistre le sur ton bureau.

 

Lance-le en double cliquant sur SmitfraudFix.exe

Appuie sur une touche comme demandé.

Exécute l’option 1, un rapport va apparaître, poste le .

[100205]

Salut,

 

Télécharge SmitfraudFix (de S!ri)

Enregistre le sur ton bureau.

 

Lance-le en double cliquant sur SmitfraudFix.exe

Appuie sur une touche comme demandé.

Exécute l’option 1, un rapport va apparaître, poste le .

 

 

le test de smitfraudfix s'arrete après recherche éléments bureau avec le message suivant: la modification du registre a été désactivée par votre administrateur, idem en mode sans échec.

[XmichouX]

Fais ceci et ressaie, sinon on fera autrement.

 

Télécharge ZebRestore

Dézippe-le. Ouvre le dossier, lance le en double cliquant sur l’exe.

Coche :

- RegEdit

- Clés RUN

- Bouton Arrêter

- Windows Update

- Gestionnaire des tâches

- Panneau de configuration

- Ajout/Suppression de programmes

- Policies

- Bureau

Clique sur Restaurer. Ferme le programme.

[100205]

Fais ceci et ressaie, sinon on fera autrement.

 

Télécharge ZebRestore

Dézippe-le. Ouvre le dossier, lance le en double cliquant sur l’exe.

Coche :

- RegEdit

- Clés RUN

- Bouton Arrêter

- Windows Update

- Gestionnaire des tâches

- Panneau de configuration

- Ajout/Suppression de programmes

- Policies

- Bureau

Clique sur Restaurer. Ferme le programme.

 

bonjour,

tout d'abord merci de m'aider, ensuite je précise que je ne maitrise pas bien les règles du forum ,aussi hier ,j'ai réouvert le sujet au lieu d'attendre ta réponse.

j'ai téléchargé Zeb restore mais il est bloqué par la fenetre: modification du registre a été désactivée par administrateur

j'attend ton autre façon de faire

merci d'avance

Alain

[XmichouX]

On va tenter autre chose pour te faire retrouver tes droits si possible avant de passer à plus puissant.

 

Télécharge Look2Me-Destroyer.exe (d’Atribune) sur ton Bureau.

 

- Ferme toutes les fenêtres actives.

- Lance le logiciel en double cliquant sur Look2Me-Destroyer.exe

- Coche Run this program as a task

- Un message s'affichera : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Fais ok

- Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître.

- Lorsque le scan termine, clique sur le bouton Remove L2M

- Un message « Done Scanning apparaîtra », fais ok.

- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; fais à nouveau ok.. Ton PC va maintenant s'éteindre.

- Redémarre ton PC normalement.

- Poste le rapport situé ici : C:\Look2Me-Destroyer.txt

 

(Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.)

 

Ensuite ressaie SmitfraudFix, si ça ne marche pas, dis-le moi

Modifié le 15 novembre 2007 par XmichouX

[100205]

Bonjour,

Suite à une interruption pour problème de fracture, je reprend la discussion.

Look ne marche pas. une analyse avec bitdenfender detecte le virus malware SDY d!wsp.ACF2CC81 dans systeme32/proper.exe

Merci d"avance de ton avis.

alain.

[XmichouX]

Re,

 

Télécharge SDFix (d’Andy Manchesta)

 

Enregistre le sur ton le bureau.

 

Lance le.

Fais install afin qu’il puisse s’extraire.

 

Redémarre en mode sans échec

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

 

Lance SDFix.

Double clique sur RunThis.bat . (L’extension bat peut ne pas apparaître)

Appuie sur Y pour le lancer.

 

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le

Il est probable que le redémarrage soit un peu plus long que d’habitude.

Une fois l’apparition de ton Bureau, il affichera Finished

 

Appuie sur une touche.

 

Un rapport est généré , poste le dans ta réponse.

Il se trouve également. dans le dossier SDFix >Report.txt<

[100205]

Bonjour,

Ci joint le rapport de SDFix:

 

 

SDFix: Version 1.117

 

Run by HP_Propri‚taire on 09/12/2007 at 09:23

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-09 09:57:50

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Disabled:AOL France"

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Mon 30 May 2005 218 A.SHR --- "C:\BOOT.BAK"

Tue 7 Feb 2006 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"

Sun 23 Apr 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 25 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

 

Finished!

 

A bientôt.

Alain.

[XmichouX]

Tu as fait des manips depuis la dernière fois ??

 

Télécharge Combofix (de sUBs) sur ton Bureau.

 

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)

Double clique combofix.exe.

Tape sur la touche 1 (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

 

Le rapport se trouve ici : C:\Combofix.txt