Salut
l'ordi de mon beau-père a choppé une (ou plusieurs saletés) il y a quelques jours, les symptomes sont assez classiques j'imagine (PC excessivement lent, navigation internet impossible...)
cet ordi etait jusque la protegé par Mc Afee, mais apparement celui ci a fait les frais de l'intrusion et est desormais dans les choux: desactivé au demarrage, il cherche a verifier la validité de l'abonnement, mais toute navigation etant impossible (car deco quasi systematique, et affichage des pages tres tres lent, environ 10m pour la home de google!), impossible de le remettre sur pied.
les Pop up surgissent de partout sous IE (passé a Firefox depuis), les ressources sont constamment pompées par je ne sais quelle appli...devenu totalement inutilisable.
parmi les autres faits notables, la confiscation des droits d'admin et la disparition de l'option permettant d'afficher les fichiers cachés.
F-Prot a trouvé une batterie de fichier infectés par plusieurs virus, les a mis en quarantaine, le spyware d'AOL trouve quand a lui deux intrus: Sinstodt A et Backdoor
malgré un nettoyage, nombre de fichier supprimer, les symptomes persistent et impossible de mettre la main sur le coupable
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
voici des extraits du log comme preconisé par la charte, j'espere ne pas avoir ecarté d'élément interessant...
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O1 - Hosts: 82.98.000.133 browser-security.microsoft.com
O1 - Hosts: 82.98.000.133 url.adtrgt.com
O1 - Hosts: 82.98.000.133 best-click-scanner.info
O1 - Hosts: 82.98.000.133 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.000.133 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.000.133 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.000.133 onlinenotifyq.net
O1 - Hosts: 82.98.000.133 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.000.133 microsoft.browser-security-center.com
O2 - BHO: (no name) - {68176912-24ed-4ed1-8dec-93f6f7f02885} - C:\WINDOWS\system32\dejegima.dll
O2 - BHO: C:\WINDOWS\system32\nhser43uhjnefr.dll - {C2BA40A2-74F3-42BD-F434-2604812C8954} - C:\WINDOWS\system32\nhser43uhjnefr.dll
O4 - HKLM\..\Run: [13085] C:\iiym.exe
O4 - HKLM\..\Run: [zesujoziki] Rundll32.exe "C:\WINDOWS\system32\tanovivo.dll",s
O4 - HKLM\..\Run: [CPM77e17fda] Rundll32.exe "c:\windows\system32\pijavobe.dll",a
O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOCUME~1\JACQUES\LOCALS~1\Temp\1249308052.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\mivalivo.dll c:\windows\system32\pedejelo.dll c:\windows\system32\pijavobe.dll
O20 - Winlogon Notify: vmbox2 - vmbox2.dll (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pijavobe.dll
O22 - SharedTaskScheduler: kjm6t5rinmhp8o87t7r6gh - {C2BA40A2-74F3-42BD-F434-2604812C8954} - C:\WINDOWS\system32\nhser43uhjnefr.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pijavobe.dll
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: FCF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
le reste est identifié et ne semble pas poser de probleme
pour ces lignes-ci j'ai plus de doutes
pouvez vous svp, a la lecture de cet extrait, avoir une idée de ce qui me bouffe 80% des ressources?
si vous avez egalement des idées de pistes ou de soft permettant une analyse de la situation, et peut etre de detecter la ou les coupables, Mc Afee et F-Prot demeurant muets...
merci d'avance
Message édité par t-w le 08-04-2009 à 18:20:45
---------------
There's no point for democracy when ignorance is celebrated - The Idiots are Taking Over (2003)
