interprétation rapport Hijackthis [Résolu]

[woodman]

Bonjour à tous,

 

Je viens de découvrir ce forum, je suis un peu désespéré avec mon problème, je m'explique :

Je suis sous windows xp sécurisé par nod32, je pense avoir été infecté par un malware nommé win32 kryptik jv (mais peut être n'est il pas en cause).

Alors j'ai cherché sur google, mais je n'ai trouvé aucun moyen de l'éradiquer.

Mon problème est assez important, au démarrage j'ai un message d'erreur et tout le temps le même :

svchost.exe - erreur d'application

L'instruction à "0x755cd27e emploie l'adresse mémoire "0x00000060". La mémoire ne peut pas être read

J'ai lancé une analyse avec nod 32 en mode normal mais rien ne change lorsqu'il supprime les fichiers infectés, idem en mode sans échec.

Pour en apprendre un peu plus je suis allé dans mon gestionnaire des tâches et j'ai supprimé un par un les fichiers svchost jusqu'à avoir le message suivant :

Arrêt du système. Veuillez enregistrer ..... Cet arrêt a été initié par AUTORITE NT\SYSTEM avec le compte à rebours de redémarrage à 1 minute (comme anciennement blaster)

Le problème est que je ne peux lancer aucun logiciel antispyware comme spybot ou malwarebyte, je ne peux pas faire les update de windows, je ne peux pas accéder à certains sites.

Par contre Hijackthis fonctionne, voilà le rapport que j'ai pu en tirer.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:38:41, on 07/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe

C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Creative Labs Shared\Service\APLicensing.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\svchost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [RCSystem] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup

O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBAMTray] C:\Program Files\Sunbelt Software\CounterSpy\SBAMTray.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer = 85.255.112.100,85.255.112.197

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer = 85.255.112.100,85.255.112.197

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.100,85.255.112.197

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.26,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.100,85.255.112.197

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Creative Audio Pack Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\APLicensing.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: CounterSpy Antispyware (SBAMSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBAMSvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

 

--

End of file - 7032 bytes

 

 

J'espère que vous pourrez m'aider, j'ai ce problème depuis quelques jours, je n'ai pas le temps de formater et j'ai besoin rapidement d'utiliser mon PC

Si vous avez besoin que je vous fournisse d'autres informations, n'hésitez pas.

Merci d'avance !!!

Modifié le 16 mars 2009 par woodman

[Falkra]

Bonsoir,

 

il y a un détournement de DNS là.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[woodman]

Merci Falkra pour ce premier élément, en fait comme je l'ai précisé dans la description du problème, j'ai déjà installé malwarebyte mais je ne peux pas le lancer, tout comme spybot, quand je clic sur les raccourcis ou les exe. C'est la même chose en mode sans échec.

Que dois je faire ?

[Falkra]

• Télécharge SmitFraudFix de S!Ri sur le bureau :
  http://siri.urz.free.fr/Fix/SmitfraudFix.exe
  
• Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.
  
• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")
  

 

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

[woodman]

Quelle réactivité !!! Je suis victime d'un détournement comme tu le pensais ... Voilà le rapport obtenu en suivant tes consignes :

 

SmitFraudFix v2.402

 

Rapport fait à 17:13:39,31, 11/03/2009

Executé à partir de C:\Documents and Settings\woodman\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe

C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Sunbelt Software\CounterSpy\SBAMTray.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Creative Labs Shared\Service\APLicensing.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Sunbelt Software\CounterSpy\SBAMSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\svchost.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\autorun.inf PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\woodman

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\woodman\LOCALS~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\woodman\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\woodman\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

 

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 85.255.112.100

DNS Server Search Order: 85.255.112.197

 

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

 

Description: Generic Marvell Yukon Chipset based Ethernet Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 85.255.112.100

DNS Server Search Order: 85.255.112.197

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.26,85.255.112.73

HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.26,85.255.112.73

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.26,85.255.112.73

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Falkra]

Allons-y. N'utilise pas non plus pout l'instant tes clés USB ou disques externes, il y a une forte probabilité qu'elles soient infectées.

 

• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection.
  
• Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées.
  
• Le fond d'écran peut être supprimé.
   
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  

[woodman]

Pour la clé USB c'est le seul moyen pour transférer le rapport de mon pc fixe vers mon portable. Rassure toi cette fois j'ai pris toutes les précautions, le second pc ne sera pas infecté.

C'est arrivé à cause d'un mauvaise manipulation de ma part, j'ai sacnné la clé usb avant de l'ouvir sur le portable.

Voici le nouveau rapport après nettoyage :

 

SmitFraudFix v2.402

 

Rapport fait à 18:00:49,85, 11/03/2009

Executé à partir de C:\Documents and Settings\woodman\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

127.0.0.1 activate.adobe.com

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\autorun.inf supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS2\Services\Tcpip\..\{1309BDEF-1777-4066-8DDB-058CE96B1653}: NameServer=85.255.112.26,85.255.112.73

HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3FA0732-5057-43B8-9940-3A5178BCA9F8}: NameServer=85.255.112.26,85.255.112.73

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.100,85.255.112.197

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.26,85.255.112.73

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Modifié le 11 mars 2009 par woodman

[Falkra]

• Double-clique sur smitfraudfix.cmd
  
• Choisis l'option 5 pour nettoyer les DNS.
   
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  

[woodman]

Par ici le nouveau rapport. Par contre il me paraît bien mince et contient très peu d'infos, enfin je ne suis pas très bien placé pour juger.

 

 

SmitFraudFix v2.402

 

Rapport fait à 18:16:51,73, 11/03/2009

Executé à partir de C:\Documents and Settings\woodman\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

[Falkra]

Il reste du boulot. On va rétablir les accès à MBAM et autres.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).