Attaque malware & Spyware

HxC · le 25 avril 2005

Salut à tous!

Je me trouve devant un gros problème: je me suis pris un spyware/malware du feu de dieu lié à ce fameux site hotoffers.info et malgré tous les conseils que j'ai lu, je n'arrive pas à résoudre le problème!

* Ma page de démarrage sous IE ne veut pas changer d'URL malgré mes modifs. Elle reste sur http://www.hotoffers.info/ad0230/

Sous Mozilla Firefox v1.0.3, il me charge régulièrement une page de photos pornos ou de site de jeu.

J'ai beau virer la ligne correspondante sous HijackThis, elle revient quand même!

* J 'ai 20 icônes qui n'arrêtent pas d'apparaitre sur mon bureau. Ces icônes envoient vers des sites divers: "Lesbian Sex", "Air Tickets", "Black Jack", "Britney Spears", "Car Insurance", "Online Poker", "Cruise", "Party poker" ou encore "Pharmacy".

Les *.ico étaient dans le Windows/System 32. Je les ais virées mais les raccourcis apparaissent toujours mais sans l'image maintenant.

* J'ai un popup "Error #317" qui apparait de temps en temps et qui me dit:

"Your Windows is corrupted with spyware viru. You must patch your PC urgently to protect your system. Private info is accessed by ports:

- 8080

- 3128

You can patch your PC for free now and delete all spyware viruses

Click OK to choose and download free spyware removal using AntiSPY."

J'ai désactivé le service d'affichage des messages mais ça continue quand même!

* Dans ma barre en bas à gauche, j'ai une icône ronde rouge barrée d'une croix blanche. Un texte apparait de temps en temps pour me dire problème de wallpapers, que j'ai des spywares ou encore que j'ai des virus sur mon ordinateur.

Quand je clique dessus, ça m'emmène vers un site en anglais sur la sécurité pour Windows avec pleins de liens pour télécharger des antispywares (http://antispy.globolook.com/index.php?qq=antivirus&id=30777&said=ad0230)

J'ai fait marcher Adaware, Spybot, The Cleaner, A-Squared et j'ai installé l'antivirus AVG. Ils m'ont détecté et viré pas mal de saloperie mais le nerf du problème est toujours là!

Le fichier Uninstall.exe fourni par Hotoffers.info que j'ai pu lire dans divers sources comme résolution du problème n'est plus accessible à l'adresse donnée.

Bref, je vous serai infiniment reconnaissant de m'aider à me sortir de ce problème.

Merci!

Voici mon log HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 10:16:56, on 25/04/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Iomega\AutoDisk\ADService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\CNAC1RPK.EXE

C:\WINDOWS\System32\ICO.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Iomega\AutoDisk\ADUserMon.exe

C:\Program Files\Iomega\DriveIcons\ImgIcon.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\Dit.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\DitExp.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CNAC1LAK.EXE

C:\Program Files\Alcatel_PIMphony\aocphone.exe

C:\Program Files\The Cleaner\tca.exe

C:\Program Files\The Cleaner\tcm.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Adobe\Adobe Photoshop CS\Photoshop.exe

C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~e5d141.tmp

C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~e5d141.tmp

C:\Documents and Settings\Utilisateur\Bureau\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0230/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5E5CDAA5-6515-89C3-CE2C-CB7B0F711BBF} - C:\WINDOWS\system32\ipmg32.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [uC_Start] C:\IBMTools\Updater\ucstartup.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: PIMphony.lnk = C:\Program Files\Alcatel_PIMphony\aocphone.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Fenetre d'etat de Canon LASER SHOT LBP-2410.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\CNAC1LAK.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O11 - Options group: [JAVA_IBM] Java (IBM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1114166704609

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E4884A-9B58-4A47-BEF1-A186AB36CB21}: NameServer = 192.168.1.254,193.252.19.3

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\adddn32.exe (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

Modifié le 25 avril 2005 par HxC

laportugaise · le 25 avril 2005

Fais les scans en ligne suivants:

HouseCall de Trend Micro sur

http://www.secuser.com/antivirus/ ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

-http://www.pandasoftware.com/activescan/

Modifié le 25 avril 2005 par laportugaise

HxC · le 25 avril 2005

J'ai tenté de le mode sans echec mais je suis pas sur une bécanne perso et le démarrage ne me le permet apparemment pas. Du moins mes tentatives désesperées sur la touche F8 n'ont rien donné!

Modifié le 25 avril 2005 par HxC

megataupe · le 25 avril 2005

J'ai tenté de le mode sans echec mais je suis pas sur une bécanne perso et le démarrage ne me le permet apparemment pas. Du moins mes tentatives désesperées sur la touche F8 n'ont rien donné!

492807[/snapback]

As-tu essayé CWShredder ? A charger ici :

http://www.intermute.com/spysubtract/cwshr...r_download.html

FLORIAN · le 25 avril 2005

Salut a toi

enleve deja tout ca

Supprime les fichiers inutiles dans les répertoires Temp

Demarrer /executer/cleanmgr

apres supprime avec hijackthis les lignes suivantes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0230/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gnzcm.dll/sp.html#27130

O2 - BHO: (no name) - {5E5CDAA5-6515-89C3-CE2C-CB7B0F711BBF} - C:\WINDOWS\system32\ipmg32.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

Télécharge CWShredder

http://cwshredder.net/bin/CWShredder.exe

--Met CWShredder dans un répertoire

-- ferme toutes les fenêtres

-- lance CWShredder et clique sur "Fix".

Supprime tout le contenu de Prefetch

C:\WINDOWS\Prefetch<--Tout le contenu

repost un log par la suite

HxC · le 25 avril 2005

Ca y est! J'ai fait tout ce que vous m'avez indiqué. Malheuresement, mon icone rouge à coté de l'heure, les icones intempestives sur le bureau et l'affichage sauvage de pages internet continuent!

Here's my log:

Logfile of HijackThis v1.99.1

Scan saved at 11:21:48, on 25/04/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Iomega\AutoDisk\ADService.exe

C:\WINDOWS\System32\CNAC1RPK.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ICO.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Iomega\AutoDisk\ADUserMon.exe

C:\Program Files\Iomega\DriveIcons\ImgIcon.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE