SOS trojan mitfraud
ejoubaud
Messages postés
13
Statut
Membre
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour à tous,
j'aurais besoin de vos conseils. Depuis qq jours, mon écran est bleu avec le message suivant:
Security warning
A fatal error in IE has occurred at 00280C0011E36 in VXD VMM (01) +0001E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c
* System can not function in normal mode.
Please check your security settings.
*Scan your PC with you available antivirus / spyware remover program to fix the problem.
Bon ça c'est une chose...
1. Suite à cette infection, car apparemment c'en est une, j'ai un prog., Antivirus Gold qui s'est installé, pas sûr que ce soit lié mais bon...
2. Depuis aujourd'hui, inopinément l'installer d'Adobe Reader se lance alors qu'évidemment, on ne lui a rien demandé..
Bon j'ai passé kasperky (à jour), depuis j'ai installé Trojan remover, Spybot, Ad-aware, Hijack this et A-squared...
Est-ce que quelqu'un pourrait me donner des infos sur les manipulations à effectuer.
Voici le log de Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:06:47, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci sincèrement pour votre aide !!!
j'aurais besoin de vos conseils. Depuis qq jours, mon écran est bleu avec le message suivant:
Security warning
A fatal error in IE has occurred at 00280C0011E36 in VXD VMM (01) +0001E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c
* System can not function in normal mode.
Please check your security settings.
*Scan your PC with you available antivirus / spyware remover program to fix the problem.
Bon ça c'est une chose...
1. Suite à cette infection, car apparemment c'en est une, j'ai un prog., Antivirus Gold qui s'est installé, pas sûr que ce soit lié mais bon...
2. Depuis aujourd'hui, inopinément l'installer d'Adobe Reader se lance alors qu'évidemment, on ne lui a rien demandé..
Bon j'ai passé kasperky (à jour), depuis j'ai installé Trojan remover, Spybot, Ad-aware, Hijack this et A-squared...
Est-ce que quelqu'un pourrait me donner des infos sur les manipulations à effectuer.
Voici le log de Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:06:47, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci sincèrement pour votre aide !!!
A voir également:
- SOS trojan mitfraud
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
16 réponses
salut
telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le et choisis l'option 1 (rechercher)
fais un copier/coller du rapport
a+
telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le et choisis l'option 1 (rechercher)
fais un copier/coller du rapport
a+
bonjour et merci pour la réponse
voici le log de Smitfraud
SmitFraudFix v0.5
Rapport fait à 18:31:17,92 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\screen.html PRESENT !
C:\WINDOWS\sites.ini PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
voici le log de Smitfraud
SmitFraudFix v0.5
Rapport fait à 18:31:17,92 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\screen.html PRESENT !
C:\WINDOWS\sites.ini PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
salut
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
valider avec [fix checked]
relance smitfraudfix et choisis l'option 2 (accepte le nettoyage du registre)
et reposte un hijackthis + le rapport de l'option 2
a+
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
valider avec [fix checked]
relance smitfraudfix et choisis l'option 2 (accepte le nettoyage du registre)
et reposte un hijackthis + le rapport de l'option 2
a+
ok voici d'abord le dernier log de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 18:44:58, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
puis celui de smitfraud fix
SmitFraudFix v0.5
Rapport fait à 18:43:47,34 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus introuvable: AntivirusGold.exe
Processus introuvable: bsw.exe
Processus introuvable: helper.exe
Processus introuvable: hookdump.exe
Processus introuvable: intel32.exe
Processus d'arrˆt (1664)
Processus arreté: intmon.exe
Processus introuvable: intmonp.exe
Processus introuvable: msmsgs.exe
Processus introuvable: msole32.exe
Processus introuvable: ole32vbs.exe
Processus introuvable: ongi.exe
Processus introuvable: popuper.exe
Processus introuvable: r.exe
Processus introuvable: runsrv32.exe
Processus d'arrˆt (1468)
Processus arreté: shnlog.exe
Processus introuvable: spoolsrv32.exe
Processus introuvable: uninst.exe
Processus introuvable: uninstIU.exe
Processus introuvable: w8673492.exe
Processus introuvable: winnook.exe
Processus introuvable: winstall.exe
Processus introuvable: wp.exe
Processus introuvable: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\bsw.exe non trouvé
C:\r.exe non trouvé
C:\winstall.exe non trouvé
C:\wp.bmp non trouvé
C:\wp.exe non trouvé
C:\WINDOWS\desktop.html non trouvé
C:\WINDOWS\popuper.exe non trouvé
C:\WINDOWS\screen.html supprimé
C:\WINDOWS\sites.ini supprimé
C:\WINDOWS\uninstIU.exe non trouvé
C:\WINDOWS\zloader3.exe non trouvé
C:\WINDOWS\Web\desktop.html non trouvé
C:\WINDOWS\Web\wallpaper.html non trouvé
C:\WINDOWS\system32\helper.exe non trouvé
Problème suppression C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\hookdump.exe non trouvé
Problème suppression C:\WINDOWS\system32\hp????.tmp
C:\WINDOWS\system32\intel32.exe non trouvé
Problème suppression C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intmonp.exe non trouvé
C:\WINDOWS\system32\msmsgs.exe non trouvé
C:\WINDOWS\system32\msole32.exe non trouvé
C:\WINDOWS\system32\ole32vbs.exe non trouvé
C:\WINDOWS\system32\oleadm.dll non trouvé
C:\WINDOWS\system32\oleadm32.dll non trouvé
C:\WINDOWS\system32\perfcii.ini non trouvé
Problème suppression C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\spoolsrv32.exe non trouvé
C:\WINDOWS\system32\runsrv32.dll non trouvé
C:\WINDOWS\system32\runsrv32.exe non trouvé
C:\WINDOWS\system32\srpcsrv32.dll non trouvé
C:\WINDOWS\system32\srpcsrv32.exe non trouvé
C:\WINDOWS\system32\txfdb32.dll non trouvé
C:\WINDOWS\system32\w8673492.exe non trouvé
C:\WINDOWS\system32\winnook.exe non trouvé
C:\WINDOWS\system32\wldr.dll non trouvé
C:\WINDOWS\system32\wp.bmp supprimé
C:\Program Files\AdwareDelete\ non trouvé
C:\Program Files\AntivirusGold\ non trouvé
C:\Program Files\PSGuard\ non trouvé
C:\Program Files\Search Maid\ non trouvé
C:\Program Files\Security IGuard\ non trouvé
C:\Program Files\SpySheriff\ non trouvé
C:\Program Files\Virtual Maid\ non trouvé
C:\spywarevanisher-free\ non trouvé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Qu'en penses-tu ?
Logfile of HijackThis v1.99.1
Scan saved at 18:44:58, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
puis celui de smitfraud fix
SmitFraudFix v0.5
Rapport fait à 18:43:47,34 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus introuvable: AntivirusGold.exe
Processus introuvable: bsw.exe
Processus introuvable: helper.exe
Processus introuvable: hookdump.exe
Processus introuvable: intel32.exe
Processus d'arrˆt (1664)
Processus arreté: intmon.exe
Processus introuvable: intmonp.exe
Processus introuvable: msmsgs.exe
Processus introuvable: msole32.exe
Processus introuvable: ole32vbs.exe
Processus introuvable: ongi.exe
Processus introuvable: popuper.exe
Processus introuvable: r.exe
Processus introuvable: runsrv32.exe
Processus d'arrˆt (1468)
Processus arreté: shnlog.exe
Processus introuvable: spoolsrv32.exe
Processus introuvable: uninst.exe
Processus introuvable: uninstIU.exe
Processus introuvable: w8673492.exe
Processus introuvable: winnook.exe
Processus introuvable: winstall.exe
Processus introuvable: wp.exe
Processus introuvable: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\bsw.exe non trouvé
C:\r.exe non trouvé
C:\winstall.exe non trouvé
C:\wp.bmp non trouvé
C:\wp.exe non trouvé
C:\WINDOWS\desktop.html non trouvé
C:\WINDOWS\popuper.exe non trouvé
C:\WINDOWS\screen.html supprimé
C:\WINDOWS\sites.ini supprimé
C:\WINDOWS\uninstIU.exe non trouvé
C:\WINDOWS\zloader3.exe non trouvé
C:\WINDOWS\Web\desktop.html non trouvé
C:\WINDOWS\Web\wallpaper.html non trouvé
C:\WINDOWS\system32\helper.exe non trouvé
Problème suppression C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\hookdump.exe non trouvé
Problème suppression C:\WINDOWS\system32\hp????.tmp
C:\WINDOWS\system32\intel32.exe non trouvé
Problème suppression C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intmonp.exe non trouvé
C:\WINDOWS\system32\msmsgs.exe non trouvé
C:\WINDOWS\system32\msole32.exe non trouvé
C:\WINDOWS\system32\ole32vbs.exe non trouvé
C:\WINDOWS\system32\oleadm.dll non trouvé
C:\WINDOWS\system32\oleadm32.dll non trouvé
C:\WINDOWS\system32\perfcii.ini non trouvé
Problème suppression C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\spoolsrv32.exe non trouvé
C:\WINDOWS\system32\runsrv32.dll non trouvé
C:\WINDOWS\system32\runsrv32.exe non trouvé
C:\WINDOWS\system32\srpcsrv32.dll non trouvé
C:\WINDOWS\system32\srpcsrv32.exe non trouvé
C:\WINDOWS\system32\txfdb32.dll non trouvé
C:\WINDOWS\system32\w8673492.exe non trouvé
C:\WINDOWS\system32\winnook.exe non trouvé
C:\WINDOWS\system32\wldr.dll non trouvé
C:\WINDOWS\system32\wp.bmp supprimé
C:\Program Files\AdwareDelete\ non trouvé
C:\Program Files\AntivirusGold\ non trouvé
C:\Program Files\PSGuard\ non trouvé
C:\Program Files\Search Maid\ non trouvé
C:\Program Files\Security IGuard\ non trouvé
C:\Program Files\SpySheriff\ non trouvé
C:\Program Files\Virtual Maid\ non trouvé
C:\spywarevanisher-free\ non trouvé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Qu'en penses-tu ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Apparement ils font de la resistance...
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
relance le fix sur l'option 2, et important sauvegarde le rapport
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
redemarre le pc normallement et reposte un hijack + le rapport du fix
a+
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
relance le fix sur l'option 2, et important sauvegarde le rapport
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
redemarre le pc normallement et reposte un hijack + le rapport du fix
a+
si tu a le temps essaye de faire un ou plusieurs scan av ici:
http://housecall.trendmicro.com
http://www.bitdefender.com/scan/licence.php
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
a+
http://housecall.trendmicro.com
http://www.bitdefender.com/scan/licence.php
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
a+
hello,
bon il y a du neuf : l'écran bleu avec le security message a disparu et la page d'accueil n'est plus oneclicksearches.com, comme tu peux t'en douter.
Par contre, j'ai toujours le truc bizarre avec l'installer d'Adobe reader qui se déclenche tout seul... un autre trojan ?
voici les logs
Logfile of HijackThis v1.99.1
Scan saved at 19:13:27, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
et celui de smitfraud
SmitFraudFix v0.5
Rapport fait à 19:04:10,07 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\bsw.exe non trouvé
C:\r.exe non trouvé
C:\winstall.exe non trouvé
C:\wp.bmp non trouvé
C:\wp.exe non trouvé
C:\WINDOWS\desktop.html non trouvé
C:\WINDOWS\popuper.exe non trouvé
C:\WINDOWS\screen.html non trouvé
C:\WINDOWS\sites.ini non trouvé
C:\WINDOWS\uninstIU.exe non trouvé
C:\WINDOWS\zloader3.exe non trouvé
C:\WINDOWS\Web\desktop.html non trouvé
C:\WINDOWS\Web\wallpaper.html non trouvé
C:\WINDOWS\system32\helper.exe non trouvé
C:\WINDOWS\system32\hhk.dll supprimé
C:\WINDOWS\system32\hookdump.exe non trouvé
C:\WINDOWS\system32\hp????.tmp non trouvé
C:\WINDOWS\system32\intel32.exe non trouvé
C:\WINDOWS\system32\intmon.exe supprimé
C:\WINDOWS\system32\intmonp.exe non trouvé
C:\WINDOWS\system32\msmsgs.exe non trouvé
C:\WINDOWS\system32\msole32.exe non trouvé
C:\WINDOWS\system32\ole32vbs.exe non trouvé
C:\WINDOWS\system32\oleadm.dll non trouvé
C:\WINDOWS\system32\oleadm32.dll non trouvé
C:\WINDOWS\system32\perfcii.ini non trouvé
C:\WINDOWS\system32\shnlog.exe supprimé
C:\WINDOWS\system32\spoolsrv32.exe non trouvé
C:\WINDOWS\system32\runsrv32.dll non trouvé
C:\WINDOWS\system32\runsrv32.exe non trouvé
C:\WINDOWS\system32\srpcsrv32.dll non trouvé
C:\WINDOWS\system32\srpcsrv32.exe non trouvé
C:\WINDOWS\system32\txfdb32.dll non trouvé
C:\WINDOWS\system32\w8673492.exe non trouvé
C:\WINDOWS\system32\winnook.exe non trouvé
C:\WINDOWS\system32\wldr.dll non trouvé
C:\WINDOWS\system32\wp.bmp non trouvé
C:\Program Files\AdwareDelete\ non trouvé
C:\Program Files\AntivirusGold\ non trouvé
C:\Program Files\PSGuard\ non trouvé
C:\Program Files\Search Maid\ non trouvé
C:\Program Files\Security IGuard\ non trouvé
C:\Program Files\SpySheriff\ non trouvé
C:\Program Files\Virtual Maid\ non trouvé
C:\spywarevanisher-free\ non trouvé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Merci en tout cas, si tu as une idée pour le prob de l'installer ?
bon il y a du neuf : l'écran bleu avec le security message a disparu et la page d'accueil n'est plus oneclicksearches.com, comme tu peux t'en douter.
Par contre, j'ai toujours le truc bizarre avec l'installer d'Adobe reader qui se déclenche tout seul... un autre trojan ?
voici les logs
Logfile of HijackThis v1.99.1
Scan saved at 19:13:27, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
et celui de smitfraud
SmitFraudFix v0.5
Rapport fait à 19:04:10,07 le 08/07/2005
Executé à partir de C:\Program Files
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\bsw.exe non trouvé
C:\r.exe non trouvé
C:\winstall.exe non trouvé
C:\wp.bmp non trouvé
C:\wp.exe non trouvé
C:\WINDOWS\desktop.html non trouvé
C:\WINDOWS\popuper.exe non trouvé
C:\WINDOWS\screen.html non trouvé
C:\WINDOWS\sites.ini non trouvé
C:\WINDOWS\uninstIU.exe non trouvé
C:\WINDOWS\zloader3.exe non trouvé
C:\WINDOWS\Web\desktop.html non trouvé
C:\WINDOWS\Web\wallpaper.html non trouvé
C:\WINDOWS\system32\helper.exe non trouvé
C:\WINDOWS\system32\hhk.dll supprimé
C:\WINDOWS\system32\hookdump.exe non trouvé
C:\WINDOWS\system32\hp????.tmp non trouvé
C:\WINDOWS\system32\intel32.exe non trouvé
C:\WINDOWS\system32\intmon.exe supprimé
C:\WINDOWS\system32\intmonp.exe non trouvé
C:\WINDOWS\system32\msmsgs.exe non trouvé
C:\WINDOWS\system32\msole32.exe non trouvé
C:\WINDOWS\system32\ole32vbs.exe non trouvé
C:\WINDOWS\system32\oleadm.dll non trouvé
C:\WINDOWS\system32\oleadm32.dll non trouvé
C:\WINDOWS\system32\perfcii.ini non trouvé
C:\WINDOWS\system32\shnlog.exe supprimé
C:\WINDOWS\system32\spoolsrv32.exe non trouvé
C:\WINDOWS\system32\runsrv32.dll non trouvé
C:\WINDOWS\system32\runsrv32.exe non trouvé
C:\WINDOWS\system32\srpcsrv32.dll non trouvé
C:\WINDOWS\system32\srpcsrv32.exe non trouvé
C:\WINDOWS\system32\txfdb32.dll non trouvé
C:\WINDOWS\system32\w8673492.exe non trouvé
C:\WINDOWS\system32\winnook.exe non trouvé
C:\WINDOWS\system32\wldr.dll non trouvé
C:\WINDOWS\system32\wp.bmp non trouvé
C:\Program Files\AdwareDelete\ non trouvé
C:\Program Files\AntivirusGold\ non trouvé
C:\Program Files\PSGuard\ non trouvé
C:\Program Files\Search Maid\ non trouvé
C:\Program Files\Security IGuard\ non trouvé
C:\Program Files\SpySheriff\ non trouvé
C:\Program Files\Virtual Maid\ non trouvé
C:\spywarevanisher-free\ non trouvé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Merci en tout cas, si tu as une idée pour le prob de l'installer ?
salut
Content pour toi, mais essaye quand meme de faire un scan en ligne.
pour l'installer d'adobe
lance hijack et fixe cette ligne
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
ensuite redemarre le pc et dis moi s'il se lance toujours
a+
Content pour toi, mais essaye quand meme de faire un scan en ligne.
pour l'installer d'adobe
lance hijack et fixe cette ligne
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
ensuite redemarre le pc et dis moi s'il se lance toujours
a+
salut moe,
bon tout fonctionne comme avant, pas de trace de l'installeur.
Tu avais tout juste.
J'ai fait un scan en ligne avec Panda, il a trouvé un adware
Merci pour le coup de main et bonne soirée !!!
Emmanuel
bon tout fonctionne comme avant, pas de trace de l'installeur.
Tu avais tout juste.
J'ai fait un scan en ligne avec Panda, il a trouvé un adware
Merci pour le coup de main et bonne soirée !!!
Emmanuel
salut Moe,
voici le log du scan de panda, dans le désordre, désolé...
Incident Statut Analyse
Adware:Adware/SaveNow No Désinfecté Registre Windows
voici le log du scan de panda, dans le désordre, désolé...
Incident Statut Analyse
Adware:Adware/SaveNow No Désinfecté Registre Windows
salut balltrap
Oui, et grace à s!ri qui peaufine sans cesse la partie script:
Je t'explique ce qu'il fait exactement:
dans ca version 0.6, la derniere pour l'instant dispo sur le site de siri
et updaté au fur et à mesure des modifs.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
2 options:
option 1 : rechercher/rapport
génère un log avec les fichiers trouvés et en plus précise si wininet.dll est infectée.
option 2 : fix
supprime les fichiers détectés.
une fois fais le prog demande si on veut nettoyer le registre o/n
si oui, en gros c'est le reg de bleeping qui est fusionné.
et dans le cas ou wininet est infectée il est demandé à l'utilisateur s'il veut reparer avec choix o/n.
Siri à trouvé un moyen de vérifier si une copie de wininet de meme version est dispo et si c'est le cas, le prog s'occupe du remplacement, plus besoin de le faire manuellement, sinon dans le log c'est mentionné + rapport qu'il faut sauvegarder si manips en sans echec.
Tout ceci en complément des fix dans hijack bien sur.
a+
Oui, et grace à s!ri qui peaufine sans cesse la partie script:
Je t'explique ce qu'il fait exactement:
dans ca version 0.6, la derniere pour l'instant dispo sur le site de siri
et updaté au fur et à mesure des modifs.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
2 options:
option 1 : rechercher/rapport
génère un log avec les fichiers trouvés et en plus précise si wininet.dll est infectée.
option 2 : fix
supprime les fichiers détectés.
une fois fais le prog demande si on veut nettoyer le registre o/n
si oui, en gros c'est le reg de bleeping qui est fusionné.
et dans le cas ou wininet est infectée il est demandé à l'utilisateur s'il veut reparer avec choix o/n.
Siri à trouvé un moyen de vérifier si une copie de wininet de meme version est dispo et si c'est le cas, le prog s'occupe du remplacement, plus besoin de le faire manuellement, sinon dans le log c'est mentionné + rapport qu'il faut sauvegarder si manips en sans echec.
Tout ceci en complément des fix dans hijack bien sur.
a+
salut
tu l'avais sous les yeux au post précédent, lol
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
ca va sinon ? bientot les vacances ?
a+
tu l'avais sous les yeux au post précédent, lol
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
ca va sinon ? bientot les vacances ?
a+
