Avalanche de rapports louches d'infection du REgistre

wasko · le 1 mars 2006

D'incessantes fenetres au look Windows 98 s'ouvrent pour me signaler que ma base de registre est INFECTEE

et me pressent instamment de me connecter sur des sites style "REgfix.com" ou reg32.com" pour y remédier

:-P

Avast, Spybot ne trouvent rien !

Here's the log

Logfile of HijackThis v1.99.1

Scan saved at 00:32:26, on 01/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

E:\Program Files\Alwil Software\Avast4\ashServ.exe

E:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

E:\Program Files\Mozilla Firefox\firefox.exe

E:\WINDOWS\System32\ctfmon.exe

E:\WINDOWS\System32\taskmgr.exe

E:\Documents and Settings\n&w\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F937F2C-8FA6-4641-9278-322CE9254D33}: NameServer = 80.118.196.36 80.118.192.100

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Que puis-je faire ?

Merci

Thanos · le 1 mars 2006

salut wasko,bienvenue sur ce forum

Pour commencer , pourrais tu poster un nouveau rapport hijackthis en faisant d'abord ceci:

Vas dans Ms config et coche toutes les cases que tu vois dans l'onglet "Démarrage", car si tu ne le fait pas le rapport hijackthis est incomplêt.

Apres avoir coché ces cases, quitte MSConfig: il te sera demandé si tu veux redémarrer,dis oui et redémarre le pc. Apres ca tu refais un rapport avec hijackthis et tu le postes stp à la suite de ma réponse.

De plus,j'aimerai que tu fasses un scan en ligne=>

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Thanos · le 1 mars 2006

j'imagine que tu n'as pas cliqué sur les liens qui te demandent de télécharger "REgfix" ou autres?

c'est évidemment bidon (du spam)

Les réponses de Vazkor et nickW ,modérateurs sur Assiste.com à ce sujet=>

http://assiste.forum.free.fr/viewtopic.php?t=7938

Pour ne plus reçevoir d'alertes dans un premier temps=>

Désactiver le service "Affichage des messages".

- Ouvrez le "Panneau de configuration" via "Démarrer" -> "Paramètres".

- Dans la nouvelle fenêtre qui s'affiche ("Panneau de configuration".), double-cliquez sur "Outils d'administration".

- Dans la nouvelle fenêtre qui s'affiche ("Outils d'administration".), double-cliquez sur "Services".

- Dans la nouvelle fenêtre qui s'affiche ("Services".), et double-cliquez "Affichage des messages".

- Dans la nouvelle fenêtre qui s'affiche ("Propriétés de Affichage des messages".), et dans la section "Type de démarrage", sélectionnez "Désactiver".

- Cliquez dans la section "Statut du service", cliquez sur le bouton "Arrêter".

Modifié le 1 mars 2006 par charles ingals

wasko · le 1 mars 2006

Tres cher Mister Godlike

OK j'ai désactivé l'Affichage des messages

Le cas est effectivement identique à celui relaté ds Assiste.com

Voici le Log :