PC infecté...a cours d'idée :/

PC infecté...a cours d'idée :/ - Virus/Spywares - Windows & Software

Marsh Posté le 08-04-2009 à 00:16:15    

Salut
 
l'ordi de mon beau-père a choppé une (ou plusieurs saletés) il y a quelques jours, les symptomes sont assez classiques j'imagine (PC excessivement lent, navigation internet impossible...)
cet ordi etait jusque la protegé par Mc Afee, mais apparement celui ci a fait les frais de l'intrusion et est desormais dans les choux: desactivé au demarrage, il cherche a verifier la validité de l'abonnement, mais toute navigation etant impossible (car deco quasi systematique, et affichage des pages tres tres lent, environ 10m pour la home de google!), impossible de le remettre sur pied.
 
les Pop up surgissent de partout sous IE (passé a Firefox depuis), les ressources sont constamment pompées par je ne sais quelle appli...devenu totalement inutilisable.
parmi les autres faits notables, la confiscation des droits d'admin et la disparition de l'option permettant d'afficher les fichiers cachés.
 
F-Prot a trouvé une batterie de fichier infectés par plusieurs virus, les a mis en quarantaine, le spyware d'AOL trouve quand a lui deux intrus: Sinstodt A et Backdoor
 
malgré un nettoyage, nombre de fichier supprimer, les symptomes persistent et impossible de mettre la main sur le coupable
 
  Platform: Windows XP SP3 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.6000.16762)
 
voici des extraits du log comme preconisé par la charte, j'espere ne pas avoir ecarté d'élément interessant...
 
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O1 - Hosts: 82.98.000.133 browser-security.microsoft.com
O1 - Hosts: 82.98.000.133 url.adtrgt.com
O1 - Hosts: 82.98.000.133 best-click-scanner.info
O1 - Hosts: 82.98.000.133 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.000.133 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.000.133 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.000.133 onlinenotifyq.net
O1 - Hosts: 82.98.000.133 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.000.133 microsoft.browser-security-center.com
O2 - BHO: (no name) - {68176912-24ed-4ed1-8dec-93f6f7f02885} - C:\WINDOWS\system32\dejegima.dll
O2 - BHO: C:\WINDOWS\system32\nhser43uhjnefr.dll - {C2BA40A2-74F3-42BD-F434-2604812C8954} - C:\WINDOWS\system32\nhser43uhjnefr.dll
O4 - HKLM\..\Run: [13085] C:\iiym.exe
O4 - HKLM\..\Run: [zesujoziki] Rundll32.exe "C:\WINDOWS\system32\tanovivo.dll",s
O4 - HKLM\..\Run: [CPM77e17fda] Rundll32.exe "c:\windows\system32\pijavobe.dll",a
O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOCUME~1\JACQUES\LOCALS~1\Temp\1249308052.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\mivalivo.dll c:\windows\system32\pedejelo.dll c:\windows\system32\pijavobe.dll
O20 - Winlogon Notify: vmbox2 - vmbox2.dll (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pijavobe.dll
O22 - SharedTaskScheduler: kjm6t5rinmhp8o87t7r6gh - {C2BA40A2-74F3-42BD-F434-2604812C8954} - C:\WINDOWS\system32\nhser43uhjnefr.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pijavobe.dll
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: FCF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
 
le reste est identifié et ne semble pas poser de probleme
pour ces lignes-ci j'ai plus de doutes
 
pouvez vous svp, a la lecture de cet extrait, avoir une idée de ce qui me bouffe 80% des ressources?
 
si vous avez egalement des idées de pistes ou de soft permettant une analyse de la situation, et peut etre de detecter la ou les coupables, Mc Afee et F-Prot demeurant muets...
 
merci d'avance


Message édité par t-w le 08-04-2009 à 18:20:45

---------------
There's no point for democracy when ignorance is celebrated - The Idiots are Taking Over (2003)
Reply

Marsh Posté le 08-04-2009 à 00:16:15   

Reply

Marsh Posté le 08-04-2009 à 13:48:54    

up


---------------
There's no point for democracy when ignorance is celebrated - The Idiots are Taking Over (2003)
Reply

Marsh Posté le 08-04-2009 à 21:35:09    

Aie ça du boulot... Commence par passer un coups de SmitFraudFix (le premier lien de google)  
 
PS: Il est parfois détecté comme un virus en faite c'est so nprogramme de détection donc aucun risque ;)
 
Déja rien que ça tu veras un changement( antivirus xp et autres...)


---------------
Pour aider la Communauté Informatique à aller mieux ====> http://www.malekal.com/ProjetAntiMalwares.php
Reply

Marsh Posté le 09-04-2009 à 08:36:44    

Antivirus2009 doit être le digne successeur d'antivirus2008 qui avait pas mal fait parler de lui il y a quelques mois.
 
Un vraie cochonnerie...
 
http://www.google.fr/search?hl=fr& [...] om++&meta=
 
http://www.411-spyware.com/fr/enle [...] p-pro-2009
 
 :jap:


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 09-04-2009 à 18:58:05    

Justement SmitFraudFix  l'enlève aussi...
 
C'est vrai que c'est le bazarre là dedans X)


---------------
Pour aider la Communauté Informatique à aller mieux ====> http://www.malekal.com/ProjetAntiMalwares.php
Reply

Marsh Posté le 13-04-2009 à 21:34:34    

merci pour l'aide
 
j'ai malheureusement pas pu le remettre sur pied, l'ordi etant tellement mal en point qie SmitFraudFix ne demarre pas  convenablement, et aboutit inexorablement sur une fenetre DOS dans laquelle un tiret clignote (et rien d'autre)


---------------
There's no point for democracy when ignorance is celebrated - The Idiots are Taking Over (2003)
Reply

Marsh Posté le 13-04-2009 à 22:59:10    

Essayes malewareByte..
 
http://www.commentcamarche.net/tel [...] ti-malware
 
Si pas utilisable non plus, la solution manuelle:
 
http://www.411-spyware.com/fr/enle [...] -to-remove
 
 :jap:


Message édité par ilien83 le 13-04-2009 à 23:00:37

---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 18-04-2009 à 09:50:29    

Essaie aussi d'utiliser Combofix, j'ai déjà supprimé quelques malware récalcitrant avec cet utilitaire
Par contre, essaie de faire un ghost avant, Combofix peut parfois être trop efficace :D
http://www.bleepingcomputer.com/co [...] r-combofix

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed