Pb searchmaid

carouloulou -  
 pépéMLX -
Bonjour,
j'aurais besoin d'une aide urgente car dès que je me connecte à internet par IE, la page qui s'affiche est une page www.searchmaid avec un message qui m'indique que je suis infecté par un logiciel espion "scpstelth.cih" ver .2.018".
Voici le log effectué sur ma machine :

C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Philippe\LOCALS~1\Temp\Rar$EX22.593\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Merci d'avance pour votre aide pour me débarrasser de ces éléments nuisibles

10 réponses

  1. rodrigue62 Messages postés 201 Statut Membre 30
     
    ca doit etre la periode car hier j'ai chopé le meme truc avec en plus deux barre d'outils (virtual maid et fresh toolbar) j'ai réussi à virer la deuxieme mais pas moyen de virer virtual maid!j'ai tout essayé Spyboot me vire quelques trucs mais toujours le meme probleme, ad aware plante lors de la mise en quarantaine,Microsoft antispyware m'efface queques trucs mais probleme toujours non résolu, j'ai essayé de fixer quelques trucs avec Hijack ca marche toujours pas et j'ai meme essayé cwshreeder mais toujours rien!Si tu arrives à trouver une solution merci de m'en faire part, au fait tu utilises quels systeme d'exploitation?
    0
    1. nico54 Messages postés 962 Statut Contributeur 115
       
      0
  2. rodrigue62 Messages postés 201 Statut Membre 30
     
    merci mais j'ai trouvé une solution qui a l'air de marcher(je croise les doigts) premier nettoyage avec Regcleaner puis ensuite avec tuneup utilities et puis j'ai telecharger power IE avec lequel j'ai réinstallé internet explorer puis j'ai vérouillé (toujours grace a power IE)la page de démarrage sur Wanadoo.en esperant que ca puisse en aider d'autre!
    Mais il faut tout de meme auparavant scanner avec Spyboot Ad-Aware et microsoft spyware en mode sans echec afin d'éliminer les premieres saletées!
    0
  3. rodrigue62 Messages postés 201 Statut Membre 30
     
    j'ai parlé un peu trop vitte, le probleme de la page de demarrage et des barres d'outils indesirables est bien réussi mais je recois encore des Popup mais sans surfer (meme si je désactive ma connexion il m'ouvre des pages IE tous seul par momment avec à l'interieur le message d'erreur comme quoi je ne suis pas connecté) et des fois il change la page sur laquelle je suis en train de surfer en une page pour des strip poker je sais pas quoi!
    0
    1. nico54 Messages postés 962 Statut Contributeur 115
       
      Peut etre te reste t'il d'autre saleté dans ton pc : execuet la manip ci dessus :
      scan avec spybot, a²free, ad aware..etc
      0
  4. rodrigue62 Messages postés 201 Statut Membre 30
     
    deja fait,mais je viens de me rendre compte que le jour ou ce probleme est survenu un fichier out.log à été crée, je copie si dessous ce qu'il contient, quequ'un pourrait-il m'éclairer sur sa fonction

    module 72656461 0
    Old name C:\WINDOWS\msxmidi.exe New name C:\WINDOWS\System32\dwuho.exe
    RemoveFromHider -> C:\WINDOWS\msxmidi.exe
    AddToHider -> C:\WINDOWS\System32\dwuho.exe
    UpdateHider
    module 370000 1d
    Work in C:\Program Files\Internet Explorer\iexplore.exe
    LockFile C:\WINDOWS\System32\dwuho.exe -> 60
    WorkExplorer
    InternetOpenUrl cc000c
    InternetReadFile 392
    InternetReadFile 392
    Downloading file http://69.50.161.13/users/paul/web/lodctrpd.exe
    InternetOpenUrl cc000c
    InternetReadFile 33792
    InternetReadFile 33792
    Executing file C:\WINDOWS\System32\lodctrpd.exe
    Downloading file http://69.50.161.13/users/paul/web/diantzpt.exe
    InternetOpenUrl cc000c
    InternetReadFile 9725
    InternetReadFile 9725
    Executing file C:\WINDOWS\System32\diantzpt.exe
    Downloading file http://69.50.161.13/users/paul/web/dosxpd.exe
    InternetOpenUrl cc000c
    InternetReadFile 47077
    InternetReadFile 47077
    Executing file C:\WINDOWS\System32\dosxpd.exe
    Downloading file http://69.50.161.13/users/paul/web/audissrp.exe
    InternetOpenUrl cc000c
    InternetReadFile 10752
    InternetReadFile 10752
    Executing file C:\WINDOWS\System32\audissrp.exe
    Downloading file http://69.50.161.13/users/paul/web/fixmapirs.exe
    InternetOpenUrl cc000c
    InternetReadFile 3733
    InternetReadFile 3733
    Executing file C:\WINDOWS\System32\fixmapirs.exe
    Downloading file http://69.50.161.13/users/paul/web/autodmfp.exe
    InternetOpenUrl cc000c
    InternetReadFile 46592
    InternetReadFile 46592
    Executing file C:\WINDOWS\System32\autodmfp.exe
    Downloading file http://69.50.161.13/users/paul/web/chkntfsfat.exe
    InternetOpenUrl cc000c
    InternetReadFile 19456
    InternetReadFile 19456
    Executing file C:\WINDOWS\System32\chkntfsfat.exe
    Downloading file http://69.50.166.92/private/x/302.exe
    InternetOpenUrl cc000c
    InternetReadFile 14848
    InternetReadFile 14848
    Executing file C:\WINDOWS\System32\302.exe
    All files downloaded successfully...
    Removing downloader...
    RemoveFromHider -> C:\WINDOWS\System32\dwuho.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. enzo
     
    j'ai eus les memes problème avec search maid et maintenant c'est iguard qui ce met tout seul dans prog files et tout la gase de registre... et bien c'est simple à chaque fois je me tade la base de registre pour faire une recherche avec F3 et je me les supprimes TOUS un par un !!!

    c'est dur mais ca marche pas mal !!!

    par contre, regcleaner, c'est bien ou faut quand meme vérifier !!!!

    et comment prévenir ces conneries !! a part un serveur linux avec firewall et toute la compagnie ??

    Enso
    0
    1. yapuka
       
      petit truc de feignant: quand tu as bien cleané ton registre, fais une sauvegarde de celui-ci(exporter tout). par précaution, ajoute une extension .txt au fichier généré (ça donne blabla.reg.txt).
      3 raisons pour ça:
      1) tu peux lire le contenu avec notepad.
      2) si un malware fouine dans les sauvegardes de registres, tu réduis ses chances de trouver ta sauvegarde.
      3) avec un double click, tu as à nouveau un registre clean.
      0
  7. pépéMLX
     
    J'ai sensiblement le même log avec les mêmes effets:
    impossible de remettre ma page de démarrage.
    mais j'ai l'impression qu'il a modifié IEXPLORER.EXE
    contenu de out.log
    module 0 0
    Old name C:\WINNT\Downloaded Program Files\update.exe New name C:\WINNT\System32\dwfww.exe
    RemoveFromHider -> C:\WINNT\Downloaded Program Files\update.exe
    AddToHider -> C:\WINNT\System32\dwfww.exe
    UpdateHider
    module 760000 1b
    Work in C:\PROGRA~1\Plus!\MICROS~1\iexplore.exe
    LockFile C:\WINNT\System32\dwfww.exe -> 2c
    WorkExplorer
    InternetOpenUrl cc000c
    InternetReadFile 392
    InternetReadFile 392
    Downloading file http://69.50.161.13/users/paul/web/lodctrpd.exe
    InternetOpenUrl cc000c
    InternetReadFile 33792
    InternetReadFile 33792
    Executing file C:\WINNT\System32\lodctrpd.exe
    Downloading file http://69.50.161.13/users/paul/web/diantzpt.exe
    InternetOpenUrl cc000c
    InternetReadFile 9725
    InternetReadFile 9725
    Executing file C:\WINNT\System32\diantzpt.exe
    Downloading file http://69.50.161.13/users/paul/web/dosxpd.exe
    InternetOpenUrl cc000c
    InternetReadFile 47077
    InternetReadFile 47077
    Executing file C:\WINNT\System32\dosxpd.exe
    Downloading file http://69.50.161.13/users/paul/web/audissrp.exe
    InternetOpenUrl cc000c
    InternetReadFile 10752
    InternetReadFile 10752
    Executing file C:\WINNT\System32\audissrp.exe
    Downloading file http://69.50.161.13/users/paul/web/fixmapirs.exe
    InternetOpenUrl cc000c
    InternetReadFile 3733
    InternetReadFile 3733
    Executing file C:\WINNT\System32\fixmapirs.exe
    Downloading file http://69.50.161.13/users/paul/web/autodmfp.exe
    InternetOpenUrl cc000c
    InternetReadFile 46592
    InternetReadFile 46592
    Executing file C:\WINNT\System32\autodmfp.exe
    Downloading file http://69.50.161.13/users/paul/web/chkntfsfat.exe
    InternetOpenUrl cc000c
    InternetReadFile 19456
    InternetReadFile 19456
    Executing file C:\WINNT\System32\chkntfsfat.exe
    Downloading file http://69.50.166.92/private/x/302.exe
    InternetOpenUrl cc000c
    InternetReadFile 14848
    InternetReadFile 14848
    Executing file C:\WINNT\System32\302.exe
    All files downloaded successfully...
    Removing downloader...
    RemoveFromHider -> C:\WINNT\System32\dwfww.exe

    Dois je réinstaller IE 5.0 (because of NT)
    ou le nettoyage de la base peut suffire ?
    0
  8. Guilôme
     
    j'ai réussi en allant voir un peu partout, fouiné, etc... mais j'ai réussi!! (j'espère en tout cas)
    Il faut rechercher un dossier "virtual maid". l'ouvrir sous Wordpad, supprimer le txt, puis l'enregistrer comme ça. ensuite on peut le désinstaller, il me semble, sans qu'il revienne nous emmerder. --> on peut réinstaller sa page d'accueil.
    Pour les popup, c'est un dossier appelé "msmsg.exe" ou "Popuper". Supprimer le et c bon.
    En ce qui concerne IE, il faut le retélécharger.
    Bonne chance.
    Guil
    0
  9. labinouze
     
    il suffit de faire une restauration de systeme et le tour est jouer,cela a fonctionner pour moi
    atchao
    0
  10. pépéMLX
     
    Merci à tous pour les infos,
    j'essaie tout ça.
    0