[ Résolu ]infection très gènante

elodie.net · le 7 juillet 2008

Bonjour à tous.

Voila mon problème... Depuis quelque temps, une fenêtre s'ouvre lorsque je tente d'ouvrir, mes documents, ma musique, etc... Jamais pour un navigateur en revanche. Elle apparait également lorsque que je fais "précédent".

Voici donc ce que cette fenêtre affiche:

Your system is infected with dangerous virus!
Note: Strongly recommend to install antispyware program to clean your system and avoid total crash of your computer.

Clik OK to download the antispyware (Recommended)

[OK] [annuler]

Je pense donc que c'est une sorte de pub.. J'ai scanné avec mon antivirus, un antispyware que j'ai téléchargé recemment et qui m'a viré plein de trucs... mais pas ça... J'ai fait des recherches et à chaque fois le même nom revient: hijackthis..

Etant donné que je n'y connais rien, je demande vôtre aide car d'après ce que j'ai lu.. mieux vaut demander pour ce genre de choses.

De plus, ça me ralenti mortellement le pc qui est déjà très lent à la base.

En espérent que vous pourrez m'aider rapidement (si ça pouvais être fini pour ce WE ce serait génial, car je risque d'avoir bien besoin de mon pc..)

Elodie.

Modifié le 10 juillet 2008 par elodie.net

Falkra · le 7 juillet 2008

Bonjour,

Ca ressemble à Zlob, un bon vieux bestiau qu'on choppe via des cracks. Bien sûr j'ai très mauvais esprit.

Pour voir ce qui tourne sur ta machine et pouvoir nettoyer les infections présentes, il faut faire quelques tests.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

elodie.net · le 7 juillet 2008

merci de venir à ma rescousse =)

j'ai un no cd pour un jeu, mais j'ai réellement le cd... (mais on s'en fiche)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:02:49, on 07/07/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Windows\VM305_STI.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe

C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe

C:\Windows\system32\conime.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Elodie\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gateway.com/g/startpage.html?Ch...ys=&M=E4200

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: 0 - {35AAB179-B510-4C48-D299-9D2CDD47E287} - (no file)

O2 - BHO: IE LiveTV - {5F841E5A-AA28-4037-BE7A-96E943E91F4D} - C:\Windows\iksagy.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {6A6DB040-0962-44E6-B29B-3CD0DA60584C} - C:\Program Files\Windows Defender\gahor66225.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {83C35173-E029-42f1-9692-0341EE379A0D} - (no file)

O2 - BHO: (no name) - {86FF27AB-1841-42FC-9241-F9B0193804FF} - C:\Program Files\MSBuild\gahor66225.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [bigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\Elodie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\IMVU\Run IMVU.lnk (file missing)

O13 - Gopher Prefix:

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/...NPUpldfr-fr.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS

--

End of file - 5120 bytes

voila le rapport =)

Modifié le 9 juillet 2008 par elodie.net

Falkra · le 7 juillet 2008

j'ai un no cd pour un jeu, mais j'ai réellement le cd... (mais on s'en fiche)

On ne s'en fiche pas, il peut être infecté, c'est un crack...

Et les cracks, ça appelle les sales bêtes, très très souvent. en plus après pour mettre à jour ton jeu, c'est pénible, plus que d'insérer le CD, qu'en plus tu as sous la main...

Le système est bien infecté...

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

elodie.net · le 7 juillet 2008

a vrai dire, c'est pas par flem.. c'est juste pour mon frère qui joue dans la chambre d'a côter.. mais avec ce que tu me dis, je pense que je vais le supprimer et nous jouerons chacun nôtre tour.

En attendant le rapport, j'ai une question.. Qu'est ce qui dans le rapport Hijackthis t'as permis de voir que c'était bel et bien effecté?

Modifié le 7 juillet 2008 par angelique
ça» http://www.castlecops.com/tk51194-iksagy_dll_iksaps_dll_apsagy_dll_other_semi_random_filenames_made_up_from_the_following_fragments_ap_od_ik_sa_do_unbe_gy_ps_xu.html

Falkra · le 7 juillet 2008

Il y en a partout, des toolbars infectieuses, des programmes douteux, etc... une demi douzaine de lignes.

elodie.net · le 7 juillet 2008

voila le rapport

Malwarebytes' Anti-Malware 1.19

Version de la base de données: 930

Windows 6.0.6001 Service Pack 1

19:36:12 07/07/2008

mbam-log-7-7-2008 (19-36-12).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 168516

Temps écoulé: 1 hour(s), 10 minute(s), 16 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 10

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 14

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{8ae72190-f8a5-b7c8-9572-98c79cdf00af} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{5f841e5a-aa28-4037-be7a-96e943e91f4d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{87a90b1b-4a56-404b-8645-db89a942c068} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\AppID\{5f841e5a-aa28-4037-be7a-96e943e91f4d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5f841e5a-aa28-4037-be7a-96e943e91f4d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{86ff27ab-1841-42fc-9241-f9b0193804ff} (Adware.TTC) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{86ff27ab-1841-42fc-9241-f9b0193804ff} (Adware.TTC) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{6a6db040-0962-44e6-b29b-3cd0da60584c} (Adware.TTC) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6a6db040-0962-44e6-b29b-3cd0da60584c} (Adware.TTC) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\gPotato.eu\Rappelz\Launcher.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Speed Monitor (Adware.AdSponsor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):

C:\Windows\System32\msjtes40.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\iksagy.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Program Files\gPotato.eu\Rappelz\Launcher.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Program Files\MSBuild\gahor66225.dll (Adware.TTC) -> Quarantined and deleted successfully.

C:\Program Files\outlook\v.tmp (Worm.P2P) -> Quarantined and deleted successfully.

C:\Program Files\Windows Defender\gahor66225.dll (Adware.TTC) -> Quarantined and deleted successfully.

C:\Users\Elodie\AppData\Local\VirtualStore\Program Files\gPotato.eu\Rappelz\Launcher.exe.new (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Elodie\AppData\Local\Wyzo\Data\Profiles\l33ey4gq.default\Cache\EEA4540Ed01 (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Windows\LOT66225.exe (Adware.TTC) -> Quarantined and deleted successfully.

C:\Program Files\outlook\p.zip (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Users\Elodie\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\System32\msnav32.ax (Malware.Trace) -> Quarantined and deleted successfully.

C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Users\Elodie\svchost.0xe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Falkra · le 7 juillet 2008

Hé bé.

Poste un nouveau rapport HijackThis stp.

elodie.net · le 8 juillet 2008

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:18:10, on 08/07/2008