Je suis infecté comment faire?

[jc51100]

voici mes rapports:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:21:18, on 04/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\DigitalPeers\CamTrack\camtrack.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 62.193.204.248:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Program Files\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.smilecam.com/home/ezwebcam/eng5...WebMonProj1.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135597484890

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

 

 

 

 

 

Rapport panda en ligne:

 

Incident Statut Analyse

 

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\J.C\Bureau\Bureau\Logiciel nettoyage\SmitfraudFix\Process.exe

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\J.C\Cookies\j.c@microsoftwga.112.2o7[1].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\J.C\Cookies\j.c@serving-sys[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\J.C\Cookies\j.c@tradedoubler[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\J.C\Cookies\j.c@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\J.C\Cookies\j.c@xiti[1].txt

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Androwe.zip

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Christean.zip

Virus:W32/Netsky.X.worm Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\document.pif

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Edward.zip

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Grace.zip

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Michael.zip

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Rebecka.zip

Virus:W32/Bagle.pwdzip Désinfecté C:\Documents and Settings\J.C\Local Settings\Application Data\IM\Identities\{3469CF39-178F-4B97-872F-249231857526}\Message Store\Attachments\Rycharde.zip

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\eMule\Incoming\(( games for ipod nano.zip[setup.exe]

Virus:W32/Bagle.pwdzip Désinfecté C:\temp.zip

Adware:adware/webhancer No Désinfecté C:\WHCC2.exe

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\keyboard21.dat

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Adware:adware/cws.searchmeup No Désinfecté C:\WINDOWS\uniq

 

 

Merci de me venir en aide

[Apollo]

Bonsoir et bienvenue sur le forum sécu,

 

Ton système n'est pas à jour et est donc à la merci de toutes les failles.

 

Il faudra passer au SP2 après désinfection totale.

 

Tu navigues avec Opera; est-ce que celui-ci est à jour? A vérifier depuis le navigateur lui-même (la version actuelle est la 9).

 

Il faudra passer par les opérations préliminaires décrites ici--> http://forum.zebulon.fr/index.php?showtopic=83986

 

Télécharge également Cwshredder ici pour éliminer CoolWebSearch: http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe (veiller à fermer toutes les fenêtres ainsi que Windows Media Player avant de fixer avec cet outil.

 

Télécharge Ewido anti-spyware

1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme Ewido. Ne pas le lancer tout de suite.
   

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
   
  
• Redémarre ton ordi en mode Normal.
  

 

Copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

 

@ plus tard, je ne sais pas si je serai encore là pour la suite mais un autre junior sécu ou membre sécurité te prendra en mains.

 

Bonne nuit.

 

EDIT:

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\eMule\Incoming\(( games for ipod nano.zip[setup.exe]

 

Cadeau d'Emule...

 

Petit sujet intéressant à ce propos:

 

http://forum.zebulon.fr/index.php?showtopic=85544 + lecture de la charte Zébulon.

Modifié le 30 juin 2006 par liegeois