coment fair w-fint+smit impossible de lancer .exe

coment fair w-fint+smit impossible de lancer .exe - Sécurité - Windows & Software

Marsh Posté le 30-08-2005 à 11:27:38    

slt à tous,
 
j'ai eu de gros ennui avec les redirections avec w-find "your computer is infected" etc....
ça ma meme bloqué mon pc et j'ai du faire une reparation. mnt je peux me connecter mais je ne peux pas lancer certain programmes avec .exe du genre ad ware, spy bot etc ..
 
je sais que les virus sont encore là de temps a autre je suis redirigé vers cette salopperie de w-find.com
si qq se sent capable de m'aider je lui posterai un rapport hijack.
 
merci de votre aide, je suis vraiment perdu.

Reply

Marsh Posté le 30-08-2005 à 11:27:38   

Reply

Marsh Posté le 30-08-2005 à 15:57:36    

voila mon premier rapport hijack
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 11:46:39, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe
 
F2 - REG:system.ini: Shell=explorer.exe,mmcsircl.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\mmcsircl.exe,C:\Documents and Settings\mahmoudi\Application Data\Explorer\mmcsircl.exe
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20081\3.00.08.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKLM\..\Run: [Themes Player] C:\WINDOWS\System32\mmcsircl.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [tfuudgj] c:\windows\rycsrsl.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [Themes Player] C:\WINDOWS\System32\mmcsircl.exe
O4 - HKCU\..\Run: [svqxgqq] c:\windows\phkdimo.exe
O4 - HKCU\..\Run: [dgbabvg] c:\windows\xxjujwv.exe
O4 - HKCU\..\Run: [osojppk] c:\windows\xxjujwv.exe
O4 - HKCU\..\Run: [liaspgf] c:\windows\lvbgkck.exe
O4 - Startup: winupdate63356757[1].exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr [...] loader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3061351_disk.dll
O21 - SSODL: Themes Update - {650EF188-D68A-4069-B8F7-0941011E73EF} - C:\WINDOWS\System32\vtdiamsp.dll
O23 - Service: Apache2 - Unknown owner - C:\Apache\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
 


 
 
j'ai lancé ewido (il a trouvé 27 infection!!!!!!) voila son rapport :

Citation :


 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  15:23:35, 30/08/2005
 + Somme de contrôle: D0D05425
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\Classes\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Replace.HBO -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Replace.HBO\CLSID -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Replace.HBO\CurVer -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
 [260] C:\WINDOWS\q3061351_disk.dll -> TrojanDownloader.Delf.lh : Nettoyer et sauvegarder
 [716] C:\WINDOWS\System32\mmcsircl.exe -> Backdoor.PPDoor.bg : Nettoyer et sauvegarder
 [800] C:\WINDOWS\q3061351_disk.dll -> TrojanDownloader.Delf.lh : Erreur durant le nettoyage
 C:\!Submit\ef.exe -> Worm.Delf.i : Nettoyer et sauvegarder
 C:\backups\backup-20050828-172440-992.dll -> Trojan.Puper.g : Nettoyer et sauvegarder
 C:\backups\backup-20050828-180622-675.dll -> Trojan.Puper.g : Nettoyer et sauvegarder
 C:\backups\backup-20050828-181916-200.dll -> Trojan.Puper.g : Nettoyer et sauvegarder
 C:\Documents and Settings\mahmoudi\Cookies\mahmoudi@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
 C:\Documents and Settings\mahmoudi\Cookies\mahmoudi@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
 C:\Documents and Settings\mahmoudi\Menu Démarrer\Programmes\Démarrage\winupdate63356757[1].exe -> TrojanDropper.Small.ue : Nettoyer et sauvegarder
 C:\Program Files\Microsoft AntiSpyware\DeactivatedItems\11CA173F-0DE8-482E-8FDD-739F63.asq -> TrojanDropper.Small.ue : Nettoyer et sauvegarder
 C:\Program Files\Microsoft AntiSpyware\DeactivatedItems\5E063709-5B73-4315-A21D-3979D4.asq -> TrojanDropper.Small.ue : Nettoyer et sauvegarder
 C:\WINDOWS\q3061351_disk.dll -> TrojanDownloader.Delf.lh : Nettoyer et sauvegarder
 C:\WINDOWS\q3297020_disk.dll -> TrojanDownloader.Delf.lh : Nettoyer et sauvegarder
 C:\WINDOWS\system32\desktop.dll -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
 C:\WINDOWS\system32\desktop.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
 C:\WINDOWS\system32\l_____e.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
 C:\WINDOWS\system32\mmcsircl.exe -> Backdoor.PPDoor.bg : Nettoyer et sauvegarder
 C:\WINDOWS\system32\vtdiamsp.dll -> Backdoor.PPdoor.bc : Nettoyer et sauvegarder
 C:\WINDOWS\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.l : Nettoyer et sauvegarder
 C:\WINDOWS\system32\web.exe -> TrojanDownloader.Small.agq : Nettoyer et sauvegarder
 
 
::Fin du rapport
 


 
 
j'ai lancé hijack vila le 2émé raport :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:47:13, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\HijackThis.exe
 
F2 - REG:system.ini: Shell=explorer.exe,mmcsircl.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\mmcsircl.exe,C:\Documents and Settings\mahmoudi\Application Data\Explorer\mmcsircl.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Themes Player] C:\WINDOWS\System32\mmcsircl.exe
O4 - HKCU\..\Run: [Themes Player] C:\WINDOWS\System32\mmcsircl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr [...] loader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3061351_disk.dll (file missing)
O21 - SSODL: Themes Update - {68660F3C-4BFC-440A-88C6-D962574DF07A} - C:\WINDOWS\System32\vtdiamsp.dll (file missing)
O23 - Service: Apache2 - Unknown owner - C:\Apache\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
 


 
j'ai fixé :
 
j'ai coché les 2 premiers+les mmcsircl(2)+ces deux la  

Citation :


O20 - Winlogon Notify: style2 - C:\WINDOWS\q3061351_disk.dll (file missing)  
O21 - SSODL: Themes Update - {68660F3C-4BFC-440A-88C6-D962574DF07A} - C:\WINDOWS\System32\vtdiamsp.dll (file missing)  
 


 
c'est quoi toutes ces conneries?
 

Reply

Marsh Posté le 31-08-2005 à 16:06:00    

Bonjour
 
C'est une variante de Smitfraud.
 
 * Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
 
 * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1  
Postes le rapport.
 
 * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.  
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.
 
 * Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
 
 * Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed