Saleté de Spysheriff qui reste incrustée sur mon pc
Forum Sécurité - Virus : Saleté de Spysheriff qui reste incrustée sur mon pc
Bonjour,
J'ai été moi aussi infecté par spy sheriff (et il a chercher la guerre et bien il la trouver tout de suite)
...
Tout commence par une belle journée devant mon PC et d'un coup tout coupe plus d'internet crash de la freebox (pendant un moment la reinitialisation n'y a rien changé)
Je redescend sur ma machine et la je voi une erreur qui me prrevient d'arreter tout et d'enregistrer ca va sauter (nan je deconne ca va redemarrer)
en fin bref je redémare une fois , rien ne s'affiche , deux fois , trois fois (c'est la que j'ai besoin d'un antistress pour eviter que mon PC aprenne a voler)
Puis je fini par comprendre que explorer ne demarre pas bien , je vais donc dans Fichier Nouvelle tache et je vais chercher C:\WINDOWS\explorer.exe
Et grâce au miracle de la nature tout fonctionne
Mais ce qui confirme l'expression "c'est trop beau pour etre vrai" Mon PC rame a fond , un message s'affiche dans ma barre des taches qui me dit que je suis infecté !!
Je vais faire un petite tour dans C: et la je vois outes les applications jamais vues auparavent dans le gestionaire des taches qui skouattent la racine de mon disque (Bande de branleur m'en vait te nettoyer ca au karcher moi !!)
Je télécharge Spybot S&D il me trouve plein de truc dont spy sheriff dont javait fait la conaissance en regardant le fichier secure32.html copain des amis skouateur.
Je regle les problème je reboot et tadaaa tout ce que j'avait supprimer réaparait !
En fesant quelques recherches sur le net je decouvre avec joie smitfraud fix Je dl je recherche et je nettoie (trés efficace ce karcher la)
Je reboot et La le PC a manquer de peut de Voler par la fenêtre .
Aujourd'hui aprés une journée de dettente je redémare mon Ordi tout en me dissant que les essais de la veille au soir (avec Hitman pro) auraient fonctionnés
Ca marche pas , je repasse une autrecouche de ce magnifique smitfraud en MSE toujours rien
A chaque nouvelle tentative d'attaque de l'ennemi , il revient en force
Tout en saturant ma ram les processus refusent de s'arreter (Tricheur rentre chez toi)
onc mes questions sont (Y a t-il un fichier a supprimer ou un fichier a modifier qui commande les processus de demarage
Ou bien il y a t-il un logiciel ou une solution pour eliminer spy sheriff (je m'occupe du goudron et des plumes moi meme )
Et je vous dit tout de suite que ca me ferait bien ch*er de formater mon pc s'achant que j'ai reinstaller windows il y a a peine 2 semaines pour changement de disque dur
Merci d'avance et je vous post Mon scan smitfraud
PS : merci de me repondre asser rapidement car j'ai deja pas beaucoup de ram mais alors avec l'autre spy cherie mon pc tourne plus a rien (j'ai même un petit temp avant que s'affiche le texte que j'écris ici)
SmitFraudFix v2.62
Rapport fait à 18:57:29,95, mar. 20/06/2006
Executé à partir de E:\Mes documents\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\secure32.html PRESENT !
C:\uniq PRESENT !
C:\winstall.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
C:\WINNT\system32\TheMatrixHasYou.exe PRESENT ! << Serieux c'est moi matrix ?
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\secure32.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"
[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Logfile of HijackThis v1.99.1
Scan saved at 20:49:36, on 20/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\winsock\csrss.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINNT\system32\logon.exe
C:\WINNT\system32\spoolsvc.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Windows\wWinUpdate.exe
c:\fimmco.exe
c:\nlos.exe
c:\Program Files\tkankb.exe
c:\winnt\system32\taskmgn.exe
c:\kopc.exe
C:\WINNT\system32\_zskwrkni04`DCPSUORTMVFBM[L.exe
C:\WINNT\system32\TheMatrixHasYou.exe
C:\WINNT\system32\winscntrl.exe
c:\fimmco.exe
c:\Program Files\tkankb.exe
c:\kopc.exe
C:\WINNT\explorer.exe
E:\Mes documents\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00027.exe"
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\winsock\csrss.exe
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\logon.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\system32\explorer.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\dfih.exe
O4 - HKLM\..\Run: [DCOM Server] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Driver] C:\WINNT\winsock\csrss.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\tkankb.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\winnt\system32\taskmgn.exe
O4 - HKLM\..\Run: [ÿ_zskl[mbfvmtrouspcd`40inkrwksz_] c:\winnt\system32\_zskwrkni04`dcpsuortmvfbm[l.exe
O4 - HKLM\..\RunServices: [ÿ_zskl[mbfvmtrouspcd`40inkrwksz_] c:\winnt\system32\_zskwrkni04`dcpsuortmvfbm[l.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Global Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O20 - AppInit_DLLs: winspool.dll C:\WINNT\system32\winspool.dll
O20 - Winlogon Notify: directpt - C:\WINNT\SYSTEM32\directpt.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\iicoajai.dll
O21 - SSODL: JKdRghWZUjZ - {4484A930-EE2E-039A-1045-29606BD8576A} - C:\WINNT\system32\bqh.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\dfih.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINNT\winsock\csrss.exe
J'ai reposter ce message suite a une demande sur un autre topic et j'y ai ajouter le log HijackThis
Ton rapport HijackThis montre clairement la presence de pas mal de merdes...
Allez, au boulot :-?
1 Télécharge
CCleaner.
Installe le dans un répertoire dédié.
Ewido.
Tu l'installes et tu le mets à jour.
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00027.exe"
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\winsock\csrss.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\system32\explorer.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\dfih.exe
O4 - HKLM\..\Run: [DCOM Server] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Driver] C:\WINNT\winsock\csrss.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\tkankb.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\winnt\system32\taskmgn.exe Méchant
O4 - HKLM\..\Run: [ÿ_zskl[mbfvmtrouspcd`40inkrwksz_] c:\winnt\system32\_zskwrkni04`dcpsuortmvfbm[l.exe
O4 - HKLM\..\RunServices: [ÿ_zskl[mbfvmtrouspcd`40inkrwksz_] c:\winnt\system32\_zskwrkni04`dcpsuortmvfbm[l.exe
O20 - AppInit_DLLs: winspool.dll C:\WINNT\system32\winspool.dll
O20 - Winlogon Notify: directpt - C:\WINNT\SYSTEM32\directpt.dll
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\iicoajai.dll
O21 - SSODL: JKdRghWZUjZ - {4484A930-EE2E-039A-1045-29606BD8576A} - C:\WINNT\system32\bqh.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\17246\explorer.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\dfih.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINNT\winsock\csrss.exe
C:\WINNT\system32\spoolsvc.exe
C:\Program Files\Windows\wWinUpdate.exe
c:\fimmco.exe
c:\nlos.exe
c:\Program Files\tkankb.exe
c:\winnt\system32\taskmgn.exe
c:\kopc.exe
C:\WINNT\system32\_zskwrkni04`DCPSUORTMVFBM[L.exe
C:\WINNT\system32\TheMatrixHasYou.exe
C:\WINNT\system32\winscntrl.exe
c:\fimmco.exe
6 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
7 Lance Ewido.
Fais un scan en mode complet.
Sauvegardes le rapport.
8 Redémarre normalement
9 Refais un scan SmitFraud, et vire ce qui reste
10 Postes le rapport Smitfraudfix, le rapport Ewido, et un dernier rapport HijackThis
| Citation : Télécharge Look2Me Destroyer sur ton Bureau.
|
Merci de m'indiquer ou se trouve l'infection Look2me
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINNT\winsock\csrss.exe
-> Cette ligne a ete oubliee
Il faut supprimer le dossier:
C:\WINNT\winsock\
| Citation : 9 Refais un scan SmitFraud, et vire ce qui reste |
A faire en mode sans echec
et c'est pas tres precis...
Et l'infection Haxdoor ?
Si tu veux je reprends la desinfection
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\iicoajai.dll
Je me trompe peut etre, mais c'est peut etre une infection L2Me alors autant faire un scan...
Le posteur connait déja la procedure a suivre pour faire un scan SmitFraudFix
| Citation : O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\iicoajai.dll |
-> Trojan Slogger-I
| Citation : Le posteur connait déja la procedure a suivre pour faire un scan SmitFraudFix |
Peut etre mais la manip' est a faire en mode sans echec.
Et l'infection HaxDoor, et le Service Winsock a delete ?
Pour le csrss, c'etait la derniere ligne et j'ai du l'oublier
Sinon, pour les dernieres infections, ce serait bien que tu me dises comment tu les identifie, pour que je prenne note
Via le site de CastleCops
Merci d'enlever Look2me-Des
Télécharger [url=http://users.telenet.be/marcvn/tools/haxfix.exe]haxfix.exe
et le sauvegarde sur le bureau.
[list]
- Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
- Cocher "Create a desktop icon"
- Cliquer "Next"
- Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
- Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)
- Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
- Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
- Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
| Citation : Et l'infection HaxDoor, et le Service Winsock a delete ? |
Je parle de ces infections la
L'infection que je croyais une infection L2Me (a cause du nom aléatoire de la dll) est effectivement une Slogger-I, j'ai fait le post trop rapidement (identification par 6368D1FC-6F5C-4f1b-B164-E67214F678E9)
Merci a vous demain une journée de lutte acharnée m'attend !!
J'ai télécharger les programmes (je vait les installer en MSE car ca beug sinon ^^)
je vais imprimmer le tuto, mais j'aimerait que vous fassiez le point sur ce que je doit faire et pas faire dans vos dernier messages.
Merci
Il y a 274 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
