Site de boules et virus à la con... - Sécurité - Windows & Software
Marsh Posté le 03-08-2005 à 16:43:12
Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Merci balltrap
Marsh Posté le 03-08-2005 à 16:51:00
Ok voici le log
Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 03-08-2005 à 18:20:58
Citation : Logfile of HijackThis v1.99.1 |
J'ai viré qq trucs en mode sans echec...
mais le fond d'ecran pourri persiste, et pas moyen de le changer
je vais virer C:\WINDOWS\q13809406_disk.dll ca m'inspire pas
Marsh Posté le 03-08-2005 à 18:29:27
C'est quoi cette merde de point d'exclamation entre msn et clone cd?
Marsh Posté le 03-08-2005 à 18:33:24
Re, télécharge CCleaner
http://www.ccleaner.com/ccdownload.asp
SpSeHjfix de Seeker
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Dézippe le dans un répertoire alloué et place un raccourci sur le bureau
Fix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le décompresses tu double cliques dessus et tu choisis loption 1
Cela va générer un rapport poste le
Redémarre en mode sans échec
Relance le et choisis cette fois loption 2 et réponds oui à tout
Redémarre et communique le nouveau rapport
------------------------------------------------------------------------------------------------
Désinstalle vie Ajout/Suppression de programmes cette application si présente:
SCom
Lance SpSeHjfix: clique sur "start disinfection".
En cas d'infection le pc sera redémarré.
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:
Hardware Clock Driver (hwclock)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\System32\hwclock.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Démarre en mode sans échec (F8 ou F5)
Assure toi d'avoir accès à tous les fichiers.
Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes (si encore présentes):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
c:\temp\< le contenu du dossier
C:\WINDOWS\System32\eldk.dll
C:\Program Files\SCom
C:\WINDOWS\System32\intell32.exe
C:\Program Files\PSGuard
C:\WINDOWS\q13809406_disk.dll
C:\WINDOWS\System32\hwclock.exe
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
Exécute CCleaner sur chaque session utilisateur
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
Marsh Posté le 03-08-2005 à 18:37:27
merci de ta reponse, saloperie de psguard, c incroyable que des trucs comme ca existent...
juste une question c quoi ccleaner?
je m'y met !
Marsh Posté le 03-08-2005 à 18:39:29
CCleaner est un petit utilitaire qui nettoie TIF, cookies, corbeille... Tu verras, sans danger
Marsh Posté le 03-08-2005 à 18:47:15
je reboot en sans echec pour virer q13 et intell32 et les fichers temp qui veulent pas se virer
bizzare C:\Program Files\SCom existe pas
Marsh Posté le 03-08-2005 à 18:48:54
Fais d'abord les manipulations avec le fix de S!Ri. Poste bien les deux rapports ensuite deuxième partie avec Hijackthis.
Marsh Posté le 03-08-2005 à 18:59:09
SmitFraudFix v1.5
Rapport fait à 18:54:26,15 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Thor\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est C41D-3D5A
Rpertoire de C:\WINDOWS\system32
29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets
Rpertoire de C:\WINDOWS\system32\dllcache
29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Marsh Posté le 03-08-2005 à 19:09:19
(8/3/05 18:53:24) SPSeHjFix started v1.1.2
(8/3/05 18:53:24) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 18:53:24) Language: français
(8/3/05 18:53:24) Win-Path: C:\WINDOWS
(8/3/05 18:53:24) System-Path: C:\WINDOWS\System32
(8/3/05 18:53:24) Temp-Path: c:\temp\
(8/3/05 18:53:31) Disinfection started
(8/3/05 18:53:31) Bad-Dll(IEP): c:\temp\se.dll
(8/3/05 18:53:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\eldk.dll
(8/3/05 18:53:31) Searchassistant Uninstaller - Keys Deleted
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 18:53:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 c:\temp\se.dll,DllInstall (deleted)
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 17
(8/3/05 18:53:31) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\temp\se.dll/space.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(8/3/05 18:53:31) Stealth-String not found
(8/3/05 18:53:31) File added to delete: c:\windows\system32\eldk.dll
(8/3/05 18:53:31) File added to delete: c:\temp\se.dll
(8/3/05 18:53:31) Reboot
(8/3/05 19:01:19) SPSeHjFix started v1.1.2
(8/3/05 19:01:19) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:01:19) Language: français
(8/3/05 19:01:19) Win-Path: C:\WINDOWS
(8/3/05 19:01:19) System-Path: C:\WINDOWS\System32
(8/3/05 19:01:19) Temp-Path: c:\temp\
(8/3/05 19:01:20) Disinfection started
(8/3/05 19:01:20) Bad-Dll(IEP): (not found)
(8/3/05 19:01:20) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) Bad IE-pages: (none)
(8/3/05 19:01:20) Stealth-String not found
(8/3/05 19:01:20) Not infected->END
(8/3/05 19:02:37) SPSeHjFix started v1.1.2
(8/3/05 19:02:37) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:02:37) Language: français
(8/3/05 19:02:37) Win-Path: C:\WINDOWS
(8/3/05 19:02:37) System-Path: C:\WINDOWS\System32
(8/3/05 19:02:37) Temp-Path: c:\temp\
(8/3/05 19:03:40) Disinfection started
(8/3/05 19:03:40) Bad-Dll(IEP): (not found)
(8/3/05 19:03:40) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) Bad IE-pages: (none)
(8/3/05 19:03:40) Stealth-String not found
(8/3/05 19:03:40) Not infected->END
Marsh Posté le 03-08-2005 à 19:10:02
Ca a l'air d'être bon!
Merci beaucoup man
J'espere pouvoir te rendre la pareille un jour
Marsh Posté le 03-08-2005 à 19:15:21
Il manque le deuxième rapport du fix de S!Ri (élimination des processus) et le nouveau rapport Hijackthis. Merci.
Marsh Posté le 03-08-2005 à 19:18:00
Citation : Logfile of HijackThis v1.99.1 |
Et S:ri n'a pas generé de rapport, il a rien desinfecté je crois
Marsh Posté le 03-08-2005 à 19:29:27
Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.
Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK
Dis ce qu'il en est
Marsh Posté le 03-08-2005 à 19:53:52
stonangel a écrit : Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log. |
Effectivement :
Citation : SmitFraudFix v1.5 |
et
Hardware Clock Driver (hwclock) was not found
Marsh Posté le 03-08-2005 à 20:04:08
Re, télécharge Killbox d'Option^Explicit:
http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippe sur le bueau.
Démarre en mode sans échec. Ouvre Killbox, coche Delete on reboot et dans la petite fenêtre sous "Full Path of File to Delete" entre le chemin complet du fichier suivant:
C:\WINDOWS\System32\hwclock.exe
Clique sur la croix blanche sur fond rouge. Aux deux messages qui vont s'afficher réponds oui.
Redémarre et dis ce qu'il en est
Marsh Posté le 03-08-2005 à 16:37:37
Vwala un sale gosse s'est amusé à surfer sur des sites ou les jeunes filles ont le visage maculé de pate blanchatre...
Enfin je m'en suis rendu compte assez vite:
Bref, je voudrais savoir comment on vire cette MERDE!!!
Message édité par french_Kiss le 03-08-2005 à 16:57:56