Un tit filou s'amuse avec mon ordi !

[Moufasa]

Bonjour,

 

Cela fait quelques moi que malgrès moi, on me force à comprendre que sous windows, on aura toujours un petit hacker plus fort que notre "sécurité"

 

Je m'explique, Cela remonte à grosso-modo 3Mois qu'on s'amuse sur mon ordi en toute impunité. Cela a commencé sur un MMORPG (Dofus pour les intimes hihi) où tous mes comptes (et biensur se de ma très chere frangine aussi) on était vidé, changé de pass ...

 

Bon pour ça je me doute bien qu'un keylogger et la cause de mes tracas, mais bizarrement, après scan d'anti virus, scan en ligne, reformatage ... Rien a y faire, il reviens et détruit tous (si j'ai bien comprit, c'est surement un rootkit récalcitrant, mais ou peut il bien se cacher ?).

 

En faisant un Whois de l'ip on découvre que c'est un proxy ebergé en floride. Étant très médiocre en traçage de machine sur le net, j'ai du me résoudre à laisser tomber.

 

Mais depuis quelques semaines ma connection Rame, une perte de débit de moitié, 2 fois par semaine je scan avec trojanremover/nod32/spybot et je récolte à chaque fois des "merdes" et bizarrement (hasard ou une de ses options de destruction ) les logs de nod32 son inaccessible).

 

J'ai tenté de créer un log avec hijackthis mais impossible de trouver un tuto partant de zéro ni même une personne susceptible de me venir en aide. Voilà pourquoi je viens vous embêtez un peu .

 

Se matin j'ai tenté un "netstat" et on voit une seule adresse adresse locale reviens: toto:xxxx <== xxxx etant un chiffre (peut être un port)

l'adresse distante correspondante est localhost (ôÔ chez moi ?): xxxxx

 

un ip reviens depuis hier: 195.229.177.28

 

Voilà tous les éléments dont je dispose, n'hésitez pas à me demander des compléments si vous avez une idée sur mon souci.

 

Etant un peu trop curieux, j'ai recommencé le whoise de cet Ip: 195.229.177.28.

 

Elle provient bien des "United Arab Emirates" mais chose étrange, sur le site http://www.ip-adress.com/ en voulant connaitre mon IP, je me suis rendu compte que mon adresse ip obtenue via la commande IPCONFIG ne concorde pas avec celle obtenue du site soit 194.170.32.251 géolocalisé aussi aux Émirats Arabes et chose rigolote, à Abu Dabi pour être précis. Et bien sur le site de rediffusion de france-télévision refuse de m'accorder l'accès car il me voit comme hors France métropolitaine.

 

 

Amicalement,

Mouff"

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:19:26, on 10/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device

 

Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Windows\LSD\LClock\lclock.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\moufasa\Local Settings\Temporary Internet

 

Files\Content.IE5\HZV59CY2\HiJackThis[1].exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

 

http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winlsd.org/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} -

 

C:\WINDOWS\system32\dvmurl.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program

 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program

 

Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Program

 

Files\Burn4Free Toolbar\v3.3.0.3\Burn4Free_Toolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

 

C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program

 

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} -

 

C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Program

 

Files\Burn4Free Toolbar\v3.3.0.3\Burn4Free_Toolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GEST] =

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI

 

Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ProfilerU] C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader

 

9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide

 

/waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] C:\Windows\LSD\LClock\lclock.exe

O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh

 

Networks\VeohWebPlayer\veohwebplayer.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"

 

-autorun

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search &

 

Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

 

LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx

 

nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

 

RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program

 

Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration -

 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search &

 

Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

 

Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -

 

http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} -

 

http://www.cooliris.com/shared/plinstll.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers

 

communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program

 

Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart

 

Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart

 

Security\ekrn.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program

 

Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -

 

C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner -

 

C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

 

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 7673 bytes

[Falkra]

Désolé, mais je n'ai qu'une réponse là dessus. Ce windows est une version modifiée et illégale.

 

Le mieux à faire est une réinstallation complète, propre, à partir d'un windows complet, au plus vite. Si tu veux un windows léger et rapide, tu peux l'avoir sans passer par ces distributions, souvent illégales, en optimisant les services (mais sans shooter quoi que ce soit, contrairement à ces distributions), ainsi tu auras un windows rapide et léger, mais auquel il ne manquera rien de vital, un de ces jours. Ces distributions retirent des choses au lieu d'en désactiver, c'est ce qui pose problème, et les solutions classiques (et documentées) ne fonctionnent pas forcément, ou peuvent poser des problèmes.

 

En plus, ces versions réagissent mal avec les outils spéciaux utilisés en désinfection, outre l'aspect illégal de ces versions, qui suffit à lui seul à fermer ce sujet.

Pour ces deux raisons, et éviter de crasher le système, nous ne les prenons pas en charge.