Virtumonde

topaze53 · Janvier 3, 2009, 8:00

salut ben j’ai desactiver mes protection et il ne veut rien savoir des que je tape 1 il me met acces refuser

guigui14100 · Janvier 3, 2009, 8:11

Essaye en mode sans échec

cricri58 · Janvier 3, 2009, 8:22

tu peux en mode sans echec—>normalement ca fonctionne–>car l option 2 se fait en MODE SANS ECHEC

Touche F8—>(Si F8 ne marche pas utilise la touche F5)

topaze53 · Janvier 4, 2009, 4:35

SmitFraudFix v2.388

Scan done at 16:25:25,21, 04/01/2009
Run from C:\Users\Paulo\Documents\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Paulo

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Paulo\AppData\Local\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Paulo\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Paulo\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“AppInit_DLLs”=""
“LoadAppInit_DLLs”=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=“C:\Windows\system32\userinit.exe,”
“Windows Shell (ezShellStart)”=“C:\Windows\system32\userinit.exe,”

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

cricri58 · Janvier 4, 2009, 4:48

Salut

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 —>Si F8 ne marche pas utilise la touche F5
dès le début de lallumage du pc sans tarrêter.
Une fenêtre va souvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape “entrée”.
Une fois sur le bureau sil ny a pas toutes les couleurs et autres cest normal !

Relance le programme Smitfraud,
Cette fois choisit loption 2,
répond oui à tous ;

Sauvegarde le rapport,
ensuite
Redémarre en mode normal,
Copie/colle le rapport sauvegardé sur le forum

Refais un log Hitjackthis

topaze53 · Janvier 4, 2009, 6:07

SmitFraudFix v2.388

Scan done at 17:54:57,50, 04/01/2009
Run from C:\Users\Paulo\Documents\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri’s WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip…{AC4E27C6-9760-4893-AE57-10962C1B0539}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

cricri58 · Janvier 4, 2009, 7:04

desactive ce service : O23 - Service: EasyBits Magic Desktop Services for Windows NT (ezntsvc) - EasyBits Software Corp. - C:\WINDOWS\system32\ezNTSvc.exe

va dans le Menu Démarrer/Panneau de Configuration/Outils d’administration/Services
Dans la fenêtre qui s’ouvre, double-clique sur la ligne “EasyBits Magic Desktop Services for Windows NT (ezntsvc) - EasyBits Software Corp.”.
Dans le champ “Type de démarrage” de l’onglet “Général”, sélectionne “Desactivé”.
Clique sur “Arrêter”.
Clique ensuite sur “OK” pour valider la configuration

lances hijackthis
cliques sur --> do a scan only
coches ces lignes
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
une fois les lignes cochées
puis ferme tout les fenetres internet explorer te programes

maintenant
cliques sur fix checked

ensuite Télécharges CCleaner sur le bureau: [www.clubic.com...](http://www.clubic.com/telecharger-fiche14492-ccleaner-crap-cleaner.html) Ne le télécharge pas si tu l'as déjà !

Une fois sur le bureau, clic sur l’install de CCleaner.

Mais avant de cliquer sur le bouton “installer”, décoche toutes les “options supplémentaires”.
Ensuite, clique sur “Options”, “Avancé” et décoche la case—
“Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures”.
Clique sur l’onglet “Nettoyeur” puis sur “Lancer le Nettoyage”.
-> Ensuite clique sur l’icone Registre, à droite, clique sur “Chercher des erreurs” puis sur “Réparer les erreurs sélectionnées”.

Accepte la sauvegarde, de la BDR (base de registre )qu’il propose .
Je te conseille de le repasser au moins deux fois,( jusqu’à qu’il ne trouve plus d’erreurs.)
redemarres ton PC

et poste un nouveau log hijackthis

guigui14100 · Janvier 4, 2009, 8:19

Salut

Utilise [Combofix [/url]et post le rapport url=http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#use](http://download.bleepingcomputer.com/sUBs/ComboFix.exe)

cricri58 · Janvier 4, 2009, 9:04

Salut

est ce que tu nous prends --> pour des billes—>tes logs hijackthis ont la même date et heure ???

et les mêmes infections --> même aprés avoir fais du boulot-tu fais du copié/coller avec un et même :non::olog

topaze53 · Janvier 4, 2009, 9:07

salut
desoler je vous prend pas pour des billes pourtant j’ai fais se que tu ma dis
mais j’ai du prend l’autre d’avant je suis desoler encore
merçi

cricri58 · Janvier 4, 2009, 9:15

ok

mais on ne s y retrouve plus–même uigui14100 a demandé un combofix au vu des résultats—et ce 2 fois de suite t a posté le même
elime les logs au fur et à mesure svp !!

oups-->élimines les au fur et à mesure que tu les poste -->ok !!!

Fais Ccleaner et poste un nouveau log et un bon ce coup-çi

guigui14100 · Janvier 4, 2009, 9:54

Fait un ZHPDiag de Nicolas Coolman, dans complément de recherche coche les tous, puis lance le scanner (en cliquant sur la loue) et post le rapport
Edité le 04/01/2009 à 21:54

guigui14100 · Janvier 4, 2009, 10:10

Alors:

1°) Fait un navilog1 de IlMafioso en Mode et ensuite 2 et post le rapport
2°) Fait le combofix de tout a l’heure, pense a désactiver ton antivirus avant
3°)Désinstalle SweetIm

topaze53 · Janvier 4, 2009, 10:19

comment faire un navilog1 de llmafioso
desoler je suis un peu perdu

cricri58 · Janvier 4, 2009, 10:23

je vois que ce coupçi les logs ont la bonne date et heure–>et Ccleaner tu devais le faire avant le log hijackthis–>c est un Nettoyeur !!

guigui14100 · Janvier 4, 2009, 10:24

Oups excuse jai oublier de mettre les lien :paf:

[Navilog[/url] url=http://lasecuritepourtous.free.fr/index.php/outils-de-desinfections/navilog1.html](http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe)

[Combofix[/url] [url=http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#use](tutorial)](http://download.bleepingcomputer.com/sUBs/ComboFix.exe)

topaze53 · Janvier 4, 2009, 10:34

sur navilog1 je clique sur recherche s’est sa

cricri58 · Janvier 4, 2009, 10:37

appuyes sur la touche 1 puis sur Entrer–>pour effectuer la recherche–>t as un tuto !!

topaze53 · Janvier 4, 2009, 10:53

Search Navipromo version 3.7.1 commencé le 04/01/2009 à 22:38:02,63

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l’avis d’un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft® Windows Vista Édition Familiale Basique ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Mobile AMD Sempron™ Processor 3500+ )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : Paulo ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1229 [VPS 081114-0] 4.8.1229 (Activated)

C:\ (Local Disk) - NTFS - Total:68 Go (Free:40 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:2 Go)
E:\ (CD or DVD)

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans “C:\Windows” ***

*** Recherche dossiers dans “C:\Program Files” ***

*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1\programs” ***

*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1” ***

*** Recherche dossiers dans “C:\ProgramData” ***

*** Recherche dossiers dans “c:\users\paulo\appdata\roaming\micros~1\windows\startm~1\programs” ***

*** Recherche dossiers dans “C:\Users\Paulo\AppData\Local\virtualstore\Program Files” ***

*** Recherche dossiers dans “C:\Users\Paulo\AppData\Local” ***

*** Recherche dossiers dans “C:\Users\Paulo\AppData\Roaming” ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d’infos : www.gmer.net…

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

Recherche dans “C:\Windows\system32” *
Recherche dans “C:\Users\Paulo\AppData\Local\Microsoft” *
Recherche dans “C:\Users\Paulo\AppData\Local” *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

Dans “C:\Windows\system32” :
Dans “C:\Users\Paulo\AppData\Local\Microsoft” :
Dans “C:\Users\Paulo\AppData\Local” :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 04/01/2009 à 22:51:47,82 ***

topaze53 · Janvier 5, 2009, 10:35

voici le rapport du navilog1 au dessus,dois je faire un combofix
merçi