Hijack This (help!)

Hijack This (help!) - Sécurité - Windows & Software

Marsh Posté le 30-05-2006 à 09:36:45    

Bonjour à tous!
 
Voilà, Anthony10 m'a aidé à nettoyer ma base de registre il y a quelques jours, et je suis de nouveau infecté!!! :fou:  
Serait-ce possible d'avoir un nouveau coup de main?
Voici mon log Hijack This
 
Logfile of HijackThis v1.99.1
Scan saved at 9:35:43, on 30/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\algsec.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\adv.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
c:\Program Files\khkao.exe
C:\HijackThis.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\System32\0mcamcap.exe
c:\axclsm.exe
c:\wmpvqj.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\khkao.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: WiFi Station.lnk = ?
O4 - Global Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4655123015
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/p [...] r37840.cab
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://fotobook.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A335C20-1093-4A94-9059-34452DDB3775}: NameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5E2EDC-7A1F-4482-B323-B031BE66CEE8}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
Vous êtes mon seul espoir :ange:

Message cité 1 fois
Message édité par Gregori le 30-05-2006 à 10:56:24
Reply

Marsh Posté le 30-05-2006 à 09:36:45   

Reply

Marsh Posté le 30-05-2006 à 11:13:41    

bonjour
 
tu aurais pu continuer sur ton post précédent.
 
télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 (la dernière version) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le

Reply

Marsh Posté le 30-05-2006 à 11:36:56    

Gregori a écrit :

Voilà, Anthony10 m'a aidé à nettoyer ma base de registre il y a quelques jours, et je suis de nouveau infecté!!! :fou:  


bah oui mais si tu refait n'importe quoi, on pas passer notre vie à te la desinfecter, ta machine :D
t'as pas mis un antivirus ? un firewall ?

Reply

Marsh Posté le 30-05-2006 à 11:42:02    

bonjour
 

BaF - FlOp a écrit :

t'as pas mis un antivirus ? un firewall ?


 
il s'agit de regarder un minimum, quand même
 

Citation :

Running processes:  
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

Reply

Marsh Posté le 30-05-2006 à 12:34:31    

ben non j'ai pas regardé, ras le bol de se tapé les logs du monde entier :o :D (godwin :jap:)
 
m'enfin s'il est vraiment infecté aussi vite, franchement je doute de leur configs... c'est pas des "logiciels magiques" qui fonctionnent à merveille, direct, sans avoir à les configurer

Reply

Marsh Posté le 30-05-2006 à 16:47:53    

Effectivement eZula, ta critique est constructive (j'aurais du continuer dans l'autre post). J'y penserai la prochaine fois (le plus tard possible j'espere :pfff: )
Par contre baf - flop, j'ai pas vraiment saisi l'intérêt de tes réponses...surtout après une lecture partielle :sarcastic: Enfin pour la petite histoire j'ai installé Zone Alarm et effectué différents tests online mais apparement il était déjà trop tard.
Voilà donc mon log SmitfrauFix
 
 
SmitFraudFix v2.51
 
Rapport fait à 16:47:29,01, mar. 30/05/2006
Executé à partir de C:\Documents and Settings\Administrateur.SIGMUND-3RQVXZQ\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
C:\secure32.html PRESENT !
C:\uniq PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\0mcamcap.exe PRESENT !
C:\WINDOWS\system32\TheMatrixHasYou.exe PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.SIGMUND-3RQVXZQ\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.SIG\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
C:\Program Files\secure32.html PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
 
D'avance merci

Reply

Marsh Posté le 30-05-2006 à 17:00:48    

tiens ça c'est chouette, le fix prend désormais en charge ce genre de saletés C:\WINDOWS\System32\0mcamcap.exe
 
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924  
Tu vas t'en servir de l'étape 2 à l'étape 8 sans accès à internet.
 
1/ Télécharge :
 
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
 
*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec*****
 
2/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [SysTray] c:\Program Files\khkao.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
 
 
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
 
 
3/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
 

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",  
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


 
4/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :
 
c:\axclsm.exe <- le fichier
c:\wmpvqj.exe  <- le fichier
c:\Program Files\khkao.exe <- le fichier
 
C:\WINDOWS\TEMP <- vide tout le contenu de ce dossier
 
5/ Vide la corbeille.
 
6/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
7/ double-clique sur le fichier "SmitfraudFix.cmd" et choisis l’option 2, réponds oui à tout et laisse-le procéder.  
 
8/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 
9/ poste le contenu du fichier C:\rapport.txt

Reply

Marsh Posté le 30-05-2006 à 17:09:42    

La suite dans le 1er topic, sinon on va pas s'en sortir.


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed