virus Martfinder

virus Martfinder - Sécurité - Windows & Software

Marsh Posté le 14-06-2005 à 21:10:38    

Bonjour à tous!
je viens de me manger un gros virus dans les dents, voir meme plusieurs :(
apres moultes recherches, guérisons, réparations, tentatives, je m'en remet à vous.
 
- Tout d'abord mon image de bureau a été modifié, devenu un ecran bleu avec un message d'erreur m'informant que j'avais un virus et me conseillant de me rendre sur un site (ce que je n'ai pas fait) j'imagine que c'est la meme chose que ceci : http://forum.hardware.fr/hardwaref [...] 4028-1.htm donc j'ai corrigé l'erreur mais ce n'est pas tout..
- pendant une journée je n'ai pas pu allumer mon ordinateur, ni en mode sans echec, j'obtenais un ecran bleu (celui de "windows ne s'est pas éteint correctement) m'expliquant que le boot du disque dur avait été endomagé.. J'ai pu le réparer avec le cd d'XP mais sans aide ca a été un peu long..
- de plus le click droit sur le bureau ne marchait plus j'obtenais un message d'erreur
- tous mes favoris de mozilla ont été effacés
- des que je lance IE (besoin de le faire pour des scans en ligne par exemple) impossible d'aller sur un site car je suis automatiquemenet redirigée vers www.martfinder.com
- des popups sur des sites pornos ou de propositions pour sécuriser mon ordinateur apparaissent toutes les 2minutes
- des popups avec des petits monstres m'informant que je suis infectée apparaissent (dans IE et fenetres windows)
- le bloc note a disparu, l'icone du bloc note est devenu l'icone d'un fichier exe (quand on click dessu ca lance le virus et plein de popups que je n'arrive plus à interrompre dans le gestionnaire des tâches)
 
Bon beaucoup de ces problemes ont été résolus grace à différents sujets de votre forum
par contre je n'ai pas retrouvé mes favoris mozilla, et je ne sais pas comment récupérer mon bloc note
 
je vous envoi le rapport hijackthis
 
Logfile of HijackThis v1.99.1
Scan saved at 20:31:40, on 14/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\No-IP\DUC20.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\IFACE.EXE
C:\Documents and Settings\Lionmiss.XYLOS\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {D48DAC4F-9022-491D-F4EF-B20DD24D98BF} - (no file)
O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: SNET_092004 - https://www.snet.lu/vprod/dusnet2b_v2046.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT [...] tream3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F9A336-D2EC-47B1-B6EA-BC76088143DD}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0AF158-0528-4DF2-88EC-C27560529F47}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{87D554C2-332F-4441-9AD5-9B332AB99773}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D1410D-8AB6-4A46-9057-194B4BE77B4B}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\No-IP\DUC20.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\LIONMI~1.XYL\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)
 
aidez moi svp!
merci


Message édité par shawarma le 15-06-2005 à 01:01:43
Reply

Marsh Posté le 14-06-2005 à 21:10:38   

Reply

Marsh Posté le 14-06-2005 à 21:24:53    

Bonsoir ton nombre de lignes O17 est anormalement élevé fais un Whois pour vérifier qu'il s'agit bien de ton FAI.


Message édité par stonangel le 14-06-2005 à 21:25:10
Reply

Marsh Posté le 15-06-2005 à 00:49:01    

mais je dois taper l'IP dans le whois?
parce que meme si j'ai beaucoup de 017 en fait c'est toujours les memes IP.
En tout cas j'ai fait un whois ici http://ws.arin.net/cgi-bin/whois.pl et j'obtiens deux adresses à Amsterdam (?) alors que je suis chez free comme FAI.
Bon je suis pas tres familiere de ces trucs peut etre que j'ai mal fait...
 
ah oui j'ai encore quelques autres symptomes :
- mon antivirus plantais systématiquement du genre "a rencontré un probleme et dois quitter, envoyer le rapport d'erreur..."  (j'ai essayé avec AVAST et puis Panda) pendant le scan du disque
- il me balance des fichiers à imprimer dans ma liste des choses à imprimer


Message édité par shawarma le 15-06-2005 à 01:03:14
Reply

Marsh Posté le 15-06-2005 à 12:24:31    

Bonjour shawarma il s'agit certainement du trojan Flush B:
http://www.symantec.com/avcenter/v [...] ush.b.html
 
Installe Hijackthis correctement (pour les backups):
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Démarre Hijackthis, scan et coche les lignes suivantes:
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F9A336-D2EC-47B1-B6EA-BC76088143DD}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0AF158-0528-4DF2-88EC-C27560529F47}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{87D554C2-332F-4441-9AD5-9B332AB99773}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D1410D-8AB6-4A46-9057-194B4BE77B4B}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{53C2FF06-6D3E-4EBD-AB0E-FBB00EB871CF}: NameServer = 69.50.176.198,195.225.176.153  
 
Ferme toutes les fenêtres, tous les programmes puis Fix checked.
 
Redémarre et dis ce qu'il en est. Il y a d'autres éléments dans ton log, je le regarderai plus tard.
 
 

Reply

Marsh Posté le 04-08-2005 à 15:14:40    

Je crois que j'ai le même problème
voici mon log hijack:
Logfile of HijackThis v1.99.1
Scan saved at 15:14:55, on 04/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\SAFEGUARD\SGEASY\SGECTL.EXE
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Connected\CBRegCap.EXE
C:\Program Files\Connected\CBlaunch.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Ghost\ngctw32.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\TEMP\NW860F.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Linksys\Wireless-G Notebook Adapter\WPC54CFG.exe
C:\Program Files\Zone Labs\Integrity Client\iclient.exe
C:\OfficeScan NT\PccNTMon.exe
C:\Program Files\Connected\CBSysTray.exe
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Cisco Systems\VPN Client\ipseclog.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\leo\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = dkproxy01.global.leo-group.net:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2723946496
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74E5FB0-8AAA-43FA-AA21-8F43AB2F7570}: Domain = global.leo-group.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74E5FB0-8AAA-43FA-AA21-8F43AB2F7570}: NameServer = 155.137.65.112,155.137.65.109
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F118069-753F-41CA-99EF-B05DB3F2DF0D}: NameServer = 192.168.0.1
O19 - User stylesheet: C:\WINNT\windows.dat
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Connected RegCap (CBRegCap) - Connected Corporation - C:\Program Files\Connected\CBRegCap.EXE
O23 - Service: Lanceur de Connected (ConnectedLauncher) - Connected Corporation - C:\Program Files\Connected\CBlaunch.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Fonction Commande à distance de Client Access Express (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\system32\ibmpmsvc.exe
O23 - Service: Agent client Symantec Ghost (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost\ngctw32.exe
O23 - Service: NICSer_WPC54G - Unknown owner - C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: SgeCtl - Utimaco Safeware AG - C:\PROGRAM FILES\SAFEGUARD\SGEASY\SGECTL.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
 
pouvez vous faire quelquechose pour moi?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed