Besoin analyse hijack suite à une foule de virus

lespaulstudio75 · Mai 18, 2009, 11:27

bonsoir,
bon c’est mon premier mssage et je suis un peu désspéré.
J’ai choppé, je pense par l’ouverture d’une page malveillante un foule de merde. Ca a provoqué en chaine des ouverture s firefox de page web pourries

Envoi en masse d’email (plutot russe), firefox qui ne veut pas se connecter pour une soit disant erreur d eproxy, impossible d’aller downloader des antivirus via I.E sans que ca plante, installation difficile ou impossible d’anti trojan et antivirus.

voila ce que j’ai dej afait :

lancement de trojan remover en mode echec = nettoyé
lancement de malware en mode echec = nettoyé
lancement de avast (pas mise à jour) en mode ss echec
Lancement de trojan killer

Malgré tout ca, je ne peux tjrs pas me co a firefox et je pense que mon PC est tjrs vérolé. Donc j’en viens à vos oreilles expertes sur hijack en vous filant le topo de l’analyse hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:06, on 18/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\M-Audio\JamLab\JamLabInst.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Defenza\pcd-as.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Bob\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\MSI\DigiCell\DigiCell.exe
C:\Program Files\palmOne\HOTSYNC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.xeoo.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = www.google.fr…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [PCDAS] C:\Program Files\Defenza\pcd-as.exe /10002
O4 - HKLM…\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM…\Run: [ISTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKLM…\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU…\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-6097161201-6827186127-979641979-9395\service.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [GridinSoft Trojan Killer] “C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe” 0
O4 - HKCU…\Run: [autochk] rundll32.exe C:\DOCUME~1\Bob\protect.dll,_IWMPEvents@16
O4 - HKCU…\Run: [Google Update] “C:\Documents and Settings\Bob\Local Settings\Application Data\Google\Update\GoogleUpdate.exe” /c
O4 - HKUS\S-1-5-19…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlsf] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [svc] c:\program Files\ThunMail\testabd.exe (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [svc] c:\program Files\ThunMail\testabd.exe (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘Default user’)
O4 - S-1-5-18 Startup: ChkDisk.dll (User ‘SYSTEM’)
O4 - .DEFAULT Startup: ChkDisk.dll (User ‘Default user’)
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
O4 - Global Startup: DigiCell.lnk = C:\Program Files\MSI\DigiCell\DigiCell.exe
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Program Files\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - favorites.live.com…
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - www.eset.eu…
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.zebulon.fr…
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: sdfsefsfdvdubgiungfuyd - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - (no file)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JamLab Installer (JamLabInstallerService) - M-Audio - C:\Program Files\M-Audio\JamLab\JamLabInst.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe

–
End of file - 7749 bytes

Voila si une bonne ame pouvait me filer la procédure ar je susi à bout de souffle. merci

cricri58 · Mai 20, 2009, 1:31

Salut

http://i42.tinypic.com/n2zoed.jpgtu es abandonné

en Premier==> désinstalles toute cette Artillerie=> Spyware Doctor,tojan remover ,troan Killer etc…tu me confimeras toutes ces désinstallations =>OK!!

aprés
1)http://i42.tinypic.com/n2zoed.jpg Télécharge VundoFix.exe (d Atribune)==>VundoFix

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué “Yes”, le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi lordinateur va séteindre, fais ok

Poste le rapport qui se trouve dans C:\vundofix.txt

http://i42.tinypic.com/n2zoed.jpgTélécharge SDFix (dAndy Manchesta)=>SDFix

Enregistre le sur ton le bureau.

Lance le.
Fais install afin quil puisse sextraire.

Redémarre en mode sans échec
Ne jamais démarrer en mode sans échec via MSCONFIG

Lance SDFix.
Double clique sur RunThis.bat . (Lextension bat peut ne pas apparaître)
Appuie sur Y pour le lancer.

Il te sera demandé d’appuyer sur une touche pour redemarrer , fais le
Il est probable que le redémarrage soit un peu plus long que dhabitude.
Une fois lapparition de ton Bureau, il affichera Finished

Appuie sur une touche.

Un rapport est généré , poste le ici
Il se trouve également. dans le dossier SDFix >Report.txt

et aprés

http://i42.tinypic.com/n2zoed.jpgTélécharge Combofix (de sUBs) sur ton Bureau==>Combofix
==>Tutoriel
Désactive temporairement toute protection résidente ! (Antivirus, antispywares…)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

au taf et moi ==> au lit :hello:

[b] Mode sans echec pour SDFix [/b]

==>“Mode sans échec” : redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

cricri58 · Mai 20, 2009, 9:21

re

SDFix tu peux le lancer ainsi

Une fois en mode sans échec==> cliques ==> Démarrer ==> Exécuter ==> colles la commande suivante==> : C:\SDFix\RunThis.bat
Cliques sur OK.

alain77310_1_1 · Mai 20, 2009, 7:59

:hello:cricri je crois que l’on serat pas trop de deux

pour lespaulstudio75 je sais pas ou tu as été trainer mais ça pu
1 tu fais comme demandé si dessus
2 tu refais après un log et si elles sont toujours la tu vire

?\globalroot\C:\WINDOWS\system32\rundll32.exe

O4 - HKLM…\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16

O4 - HKCU…\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-6097161201-6827186127-979641979-9395\service.exe

O4 - HKCU…\Run: [GridinSoft Trojan Killer] “C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe” 0

O4 - HKCU…\Run: [autochk] rundll32.exe C:\DOCUME~1\Bob\protect.dll,_IWMPEvents@16

O4 - HKUS\S-1-5-19…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SERVICE LOCAL’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlsf] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” "%SystemRoot%

O4 - HKUS\S-1-5-20…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SERVICE RÉSEAU’)

O4 - HKUS\S-1-5-18…\Run: [svc] c:\program Files\ThunMail\testabd.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [svc] c:\program Files\ThunMail\testabd.exe (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [Config] %systemroot%\system32\run.cmd (User ‘Default user’)

O4 - S-1-5-18 Startup: ChkDisk.dll (User ‘SYSTEM’)

O4 - .DEFAULT Startup: ChkDisk.dll (User ‘Default user’)

O4 - Startup: ChkDisk.dll

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - www.eset.eu…

O22 - SharedTaskScheduler: sdfsefsfdvdubgiungfuyd - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - (no file)

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\

bon puisAVAST c’est pas ma tasse de thé
Edité le 20/05/2009 à 20:11

cricri58 · Mai 20, 2009, 10:57

Re

est comment

poisson9 · Mai 27, 2009, 1:27

Tu as réson ! Je ne sais pas où il a trainer mais ça pus !
http://i42.tinypic.com/n2zoed.jpgTélécharge Malwarebytes’ Anti-Malware puis fait une mise à jour puis lance un scan complet,puis pose moi le rapport spt.
Edité le 27/05/2009 à 14:18