PB de spyware

shibuyo · le 11 juin 2006

Bonsoir,

Tout d'abors toute mes felicitations aux créateurs de ce site pour l'aide qu'il founisse au victimes des malware comme moi...

J'ai en effet attrapé un espece de Spyware nommé LSASS dont je n'arrive pas à me debarasser.

J'ai suivi la procedure avec Antivir et Hijackthis. Voici le rapport d'analyse.

Merci d'avance pour votre aide !!!

Logfile of HijackThis v1.99.1

Scan saved at 20:49:10, on 11/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\acer\Wireless\Utility\WlanUtil.exe

C:\Acer\ePM\EPM-DM.exe

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)

O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)

O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)

O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)

O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)

O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)

O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)

O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)

O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [acerWireless] C:\Program Files\acer\Wireless\Utility\WlanUtil.exe

O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe

O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

bruce lee · le 11 juin 2006

bonjour,

analyse en cours retour dans 40 minutes

bruce lee · le 11 juin 2006

re,

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

2/ Dézipper la totalité de l'archive sur ton bureau.

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

3/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

redemarre en mode normal et post aussi le nouveau rapport ainsi qu'un nouveau log hijackthis

shibuyo · le 11 juin 2006

SmitFraudFix v2.58

Rapport fait à 22:15:36,70, 11/06/2006

Executé à partir de C:\Documents and Settings\Patator\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\adware-sheriff-box.gif PRESENT !

C:\WINDOWS\adware-sheriff-header.gif PRESENT !

C:\WINDOWS\alexaie.dll PRESENT !

C:\WINDOWS\alxie328.dll PRESENT !

C:\WINDOWS\alxtb1.dll PRESENT !

C:\WINDOWS\antispylab-logo.gif PRESENT !

C:\WINDOWS\bg.gif PRESENT !

C:\WINDOWS\blue-bg.gif PRESENT !

C:\WINDOWS\BTGrab.dll PRESENT !

C:\WINDOWS\buy-now-btn.gif PRESENT !

C:\WINDOWS\close-bar.gif PRESENT !

C:\WINDOWS\corner-left.gif PRESENT !

C:\WINDOWS\corner-right.gif PRESENT !

C:\WINDOWS\dlmax.dll PRESENT !

C:\WINDOWS\facts.gif PRESENT !

C:\WINDOWS\footer.giff PRESENT !

C:\WINDOWS\free-scan-btn.gif PRESENT !

C:\WINDOWS\h-line-gradient.gif PRESENT !

C:\WINDOWS\header-bg.gif PRESENT !

C:\WINDOWS\infected.gif PRESENT !

C:\WINDOWS\info.gif PRESENT !

C:\WINDOWS\no-icon.gif PRESENT !

C:\WINDOWS\Pynix.dll PRESENT !

C:\WINDOWS\reg-freeze-box.gif PRESENT !

C:\WINDOWS\reg-freeze-header.gif PRESENT !

C:\WINDOWS\remove-spyware-btn.gif PRESENT !

C:\WINDOWS\susp.exe PRESENT !

C:\WINDOWS\true-stories.gif PRESENT !

C:\WINDOWS\spyware-sheriff-header.gif PRESENT !

C:\WINDOWS\spyware-sheriff-box.gif PRESENT !

C:\WINDOWS\star.gif PRESENT !

C:\WINDOWS\star-grey.gif PRESENT !

C:\WINDOWS\warning-bar-ico.gif PRESENT !

C:\WINDOWS\win-sec-center-logo.gif PRESENT !

C:\WINDOWS\windows-compatible.gif PRESENT !

C:\WINDOWS\yes-icon.gif PRESENT !

C:\WINDOWS\ZServ.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\a.exe PRESENT !

C:\WINDOWS\system32\adobepnl.dll PRESENT !

C:\WINDOWS\system32\alxres.dll PRESENT !

C:\WINDOWS\system32\bridge.dll PRESENT !

C:\WINDOWS\system32\CWS_iestart.exe PRESENT !

C:\WINDOWS\system32\dailytoolbar.dll PRESENT !

C:\WINDOWS\system32\exuc32.tmp PRESENT !

C:\WINDOWS\system32\jao.dll PRESENT !

C:\WINDOWS\system32\mirarsearch_toolbar.exe PRESENT !

C:\WINDOWS\system32\questmod.dll PRESENT !

C:\WINDOWS\system32\runsrv32.dll PRESENT !

C:\WINDOWS\system32\runsrv32.exe PRESENT !

C:\WINDOWS\system32\shellgui32.dll PRESENT !

C:\WINDOWS\system32\tcpservice2.exe PRESENT !

C:\WINDOWS\system32\txfdb32.dll PRESENT !

C:\WINDOWS\system32\udpmod.dll PRESENT !

C:\WINDOWS\system32\wstart.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HEURLE~1\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Modifié le 11 juin 2006 par shibuyo

AllCapone · le 11 juin 2006

SmitFraudFix v2.58

Rapport fait à 22:15:36,70, 11/06/2006

Executé à partir de C:\Documents and Settings\Bien joué\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

Bonjour Shibuyo,

Un petit conseil, évite de donner ton nom, dans les posts, car tu pourrais avoir des petits problèmes de sécurité...Remplace plutôt ton nom, par "Jacques Dupont" par exemple, ça attirerait moins le regard...

Amicalement

Modifié le 12 juin 2006 par AllCapone

shibuyo · le 11 juin 2006

Merci du conseil AllCapone !

Voici le deuxieme rapport apres effacement.

SmitFraudFix v2.58

Rapport fait à 22:23:37,84, 11/06/2006

Executé à partir de C:\Documents and Settings\Patator\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\adware-sheriff-box.gif supprimé

C:\WINDOWS\adware-sheriff-header.gif supprimé

C:\WINDOWS\alexaie.dll supprimé

C:\WINDOWS\alxie328.dll supprimé

C:\WINDOWS\alxtb1.dll supprimé

C:\WINDOWS\antispylab-logo.gif supprimé

C:\WINDOWS\bg.gif supprimé

C:\WINDOWS\blue-bg.gif supprimé

C:\WINDOWS\BTGrab.dll supprimé

C:\WINDOWS\buy-now-btn.gif supprimé

C:\WINDOWS\close-bar.gif supprimé

C:\WINDOWS\corner-left.gif supprimé

C:\WINDOWS\corner-right.gif supprimé

C:\WINDOWS\dlmax.dll supprimé

C:\WINDOWS\facts.gif supprimé

C:\WINDOWS\footer.gif supprimé

C:\WINDOWS\free-scan-btn.gif supprimé

C:\WINDOWS\h-line-gradient.gif supprimé

C:\WINDOWS\header-bg.gif supprimé

C:\WINDOWS\infected.gif supprimé

C:\WINDOWS\info.gif supprimé

C:\WINDOWS\no-icon.gif supprimé

C:\WINDOWS\Pynix.dll supprimé

C:\WINDOWS\reg-freeze-box.gif supprimé

C:\WINDOWS\reg-freeze-header.gif supprimé

C:\WINDOWS\remove-spyware-btn.gif supprimé

C:\WINDOWS\spyware-sheriff-header.gif supprimé

C:\WINDOWS\spyware-sheriff-box.gif supprimé

C:\WINDOWS\star.gif supprimé

C:\WINDOWS\star-grey.gif supprimé

C:\WINDOWS\true-stories.gif supprimé

C:\WINDOWS\susp.exe supprimé

C:\WINDOWS\warning-bar-ico.gif supprimé

C:\WINDOWS\win-sec-center-logo.gif supprimé

C:\WINDOWS\windows-compatible.gif supprimé

C:\WINDOWS\yes-icon.gif supprimé

C:\WINDOWS\ZServ.dll supprimé

C:\WINDOWS\system32\a.exe supprimé

C:\WINDOWS\system32\adobepnl.dll supprimé

C:\WINDOWS\system32\alxres.dll supprimé

C:\WINDOWS\system32\bridge.dll supprimé

C:\WINDOWS\system32\CWS_iestart.exe supprimé

C:\WINDOWS\system32\dailytoolbar.dll supprimé

C:\WINDOWS\system32\exuc32.tmp supprimé

C:\WINDOWS\system32\jao.dll supprimé

C:\WINDOWS\system32\mirarsearch_toolbar.exe supprimé

C:\WINDOWS\system32\questmod.dll supprimé

C:\WINDOWS\system32\runsrv32.dll supprimé

C:\WINDOWS\system32\runsrv32.exe supprimé

C:\WINDOWS\system32\shellgui32.dll supprimé

C:\WINDOWS\system32\tcpservice2.exe supprimé

C:\WINDOWS\system32\txfdb32.dll supprimé

C:\WINDOWS\system32\udpmod.dll supprimé

C:\WINDOWS\system32\wstart.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

bruce lee · le 12 juin 2006

bonjour,

repost un nouveau log hijackthis s'il te plait.

Connexion

Pas encore inscrit ?

PB de spyware

Messages recommandés

shibuyo

bruce lee

bruce lee

shibuyo

AllCapone

shibuyo

bruce lee

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer