trojan-spy.win32@mx, networm-i.virus@fp, etc
trojan-spy.win32@mx, networm-i.virus@fp, etc - Virus/Spywares - Windows & Software
Marsh Posté le 28-11-2007 à 10:59:59
Une astuce quand tu analyses ton fichier log hijackthis sur http://www.hijackthis.de/fr : regarde les commentaires du site et également les commentaires des utilisateurs si il y en a (tout à gauche).
Là tu vois qu'on parle de virtumonde/vundo. Ensuite tu recherches sur google et là on parle de vundofix pour nettoyer.
Donc fait un scan avec vundofix: http://www.clubic.com/telecharger- [...] dofix.html
Voilà 
Sujets relatifs:
- Virus qui ralentit tout le systeme
- Comment envoyer un virus à un scammer
- Comment de débarasser de Trojan.Getobject.134 et Generic.Malware.SYBdd
- Virus. Supprime spybotsd.exe
- Virus :o
- musique virus au lancement de Windows
- Problème disque dur externe TROJAN
- Supprimer W32.Beagle.KF/Trojan.Tooso.R/Bagle (exeflg)
- Problème avec un virus qui m'est inconnu
- Virus Flashy sur clef USB !!!!Help!!!!
Marsh Posté le 27-11-2007 à 23:15:29
Bonjour,
J'ai comme apparemment beaucoup d'autres personnes, contracté une sorte de virus/adware se manifestant par des messages d'information (une petite bulle jaune dans la barre des tâches notamment) disant que je suis infecté par "trojan-spy.win32@mx" ou "networm-i.virus@fp" et quelques autres messages différents.
J'ai opéré une recherche sur ce forum et quelques autres ( ce sujet : http://forum.hardware.fr/hfr/Windo [...] 8788_1.htm renvoie à un lien qui n'est plus valide )mais je ne suis pas parvenu à m'en débarasser, même avec SmitFraudFix ; lorsque celui-ci me demande l'autorisation de nettoyer le registre, je réponds oui, il travaille quelques secondes, mais ne redémarre pas l'ordinateur ; Windows réapparait comme si je sortais du mode veille...
la version de SmitFraudFix est récente, elle a été téléchargée aujourd'hui-même
Si l'un d'entre vous pouvait m'aider, je lui en serait très reconnaissant
ci joint :
- le rapport de SmitFraudFix après avoir lancé l'option "recherche"
- le log de hijackthis ; hijackthis a été installé sur le bureau et renommé "Scanner.exe" au préalable ; je sais quels fichiers sont a supprimer (des O2, O3 et deux O20) mais ils réapparaissent immédiatement
SMITFRAUDFIX :
SmitFraudFix v2.256
Rapport fait à 21:02:00,05, mar. 27/11/2007
Executé à partir de C:\Documents and Settings\damien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\damien
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\damien\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\damien\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1A506DC8-1399-44F6-8F6F-2B2294469D68}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3577E5D8-7FDE-4048-80A6-AA317AABD783}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{819C21AE-4E1C-4B8C-93E3-EB4F6A3741BC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BC4E854D-DCDC-420D-8C5F-8DE1BBB68635}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C6D3AA0D-8467-461A-B900-1A349F1C2E6E}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1A506DC8-1399-44F6-8F6F-2B2294469D68}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3577E5D8-7FDE-4048-80A6-AA317AABD783}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{819C21AE-4E1C-4B8C-93E3-EB4F6A3741BC}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BC4E854D-DCDC-420D-8C5F-8DE1BBB68635}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C6D3AA0D-8467-461A-B900-1A349F1C2E6E}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1A506DC8-1399-44F6-8F6F-2B2294469D68}: DhcpNameServer=85.255.116.148,85.255.112.226
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3577E5D8-7FDE-4048-80A6-AA317AABD783}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{819C21AE-4E1C-4B8C-93E3-EB4F6A3741BC}: DhcpNameServer=85.255.116.148,85.255.112.226
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BC4E854D-DCDC-420D-8C5F-8DE1BBB68635}: DhcpNameServer=85.255.116.148,85.255.112.226
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6D3AA0D-8467-461A-B900-1A349F1C2E6E}: DhcpNameServer=85.255.116.148,85.255.112.226
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
HIJACKTHIS :
Logfile of HijackThis v1.99.1
Scan saved at 21:01:28, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\damien\Bureau\hijackthis\Scanner.exe
O2 - BHO: (no name) - {17603260-A444-45CE-9554-D5CD6911513D} - C:\WINDOWS\system32\tusro.dll
O2 - BHO: (no name) - {2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B} - C:\WINDOWS\system32\byxvvst.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\anyfsghr.dll
O2 - BHO: (no name) - {E809177F-E9E7-40F0-8E23-1CA1D5721558} - c:\windows\system32\geadgea.dll (file missing)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\anyfsghr.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr [...] NPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3577E5D8-7FDE-4048-80A6-AA317AABD783}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: anyfsghr - C:\WINDOWS\SYSTEM32\anyfsghr.dll
O20 - Winlogon Notify: byxvvst - C:\WINDOWS\SYSTEM32\byxvvst.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci à vous...