SOS trojan mitfraud

ejoubaud Messages postés 13 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour à tous,

j'aurais besoin de vos conseils. Depuis qq jours, mon écran est bleu avec le message suivant:
Security warning

A fatal error in IE has occurred at 00280C0011E36 in VXD VMM (01) +0001E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode.
Please check your security settings.

*Scan your PC with you available antivirus / spyware remover program to fix the problem.

Bon ça c'est une chose...
1. Suite à cette infection, car apparemment c'en est une, j'ai un prog., Antivirus Gold qui s'est installé, pas sûr que ce soit lié mais bon...
2. Depuis aujourd'hui, inopinément l'installer d'Adobe Reader se lance alors qu'évidemment, on ne lui a rien demandé..

Bon j'ai passé kasperky (à jour), depuis j'ai installé Trojan remover, Spybot, Ad-aware, Hijack this et A-squared...

Est-ce que quelqu'un pourrait me donner des infos sur les manipulations à effectuer.

Voici le log de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 00:06:47, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\shnlog.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Merci sincèrement pour votre aide !!!

16 réponses

  1. ejoubaud Messages postés 13 Statut Membre
     
    bonjour et merci pour la réponse

    voici le log de Smitfraud

    SmitFraudFix v0.5

    Rapport fait à 18:31:17,92 le 08/07/2005
    Executé à partir de C:\Program Files
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    C:\WINDOWS\screen.html PRESENT !
    C:\WINDOWS\sites.ini PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\hhk.dll PRESENT !
    C:\WINDOWS\system32\hp????.tmp PRESENT !
    C:\WINDOWS\system32\intmon.exe PRESENT !
    C:\WINDOWS\system32\shnlog.exe PRESENT !
    C:\WINDOWS\system32\wp.bmp PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  2. Utilisateur anonyme
     
    salut

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

    O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9AFA.tmp

    O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
    O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

    valider avec [fix checked]

    relance smitfraudfix et choisis l'option 2 (accepte le nettoyage du registre)

    et reposte un hijackthis + le rapport de l'option 2

    a+
    0
  3. ejoubaud Messages postés 13 Statut Membre
     
    ok voici d'abord le dernier log de hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 18:44:58, on 08/07/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Program Files\Outlook Express\msimn.exe
    C:\WINDOWS\system32\intmon.exe
    C:\WINDOWS\system32\shnlog.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    puis celui de smitfraud fix

    SmitFraudFix v0.5

    Rapport fait à 18:43:47,34 le 08/07/2005
    Executé à partir de C:\Program Files
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    Processus introuvable: AntivirusGold.exe
    Processus introuvable: bsw.exe
    Processus introuvable: helper.exe
    Processus introuvable: hookdump.exe
    Processus introuvable: intel32.exe
    Processus d'arrˆt (1664)
    Processus arreté: intmon.exe
    Processus introuvable: intmonp.exe
    Processus introuvable: msmsgs.exe
    Processus introuvable: msole32.exe
    Processus introuvable: ole32vbs.exe
    Processus introuvable: ongi.exe
    Processus introuvable: popuper.exe
    Processus introuvable: r.exe
    Processus introuvable: runsrv32.exe
    Processus d'arrˆt (1468)
    Processus arreté: shnlog.exe
    Processus introuvable: spoolsrv32.exe
    Processus introuvable: uninst.exe
    Processus introuvable: uninstIU.exe
    Processus introuvable: w8673492.exe
    Processus introuvable: winnook.exe
    Processus introuvable: winstall.exe
    Processus introuvable: wp.exe
    Processus introuvable: zloader3.exe

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\bsw.exe non trouvé
    C:\r.exe non trouvé
    C:\winstall.exe non trouvé
    C:\wp.bmp non trouvé
    C:\wp.exe non trouvé
    C:\WINDOWS\desktop.html non trouvé
    C:\WINDOWS\popuper.exe non trouvé
    C:\WINDOWS\screen.html supprimé
    C:\WINDOWS\sites.ini supprimé
    C:\WINDOWS\uninstIU.exe non trouvé
    C:\WINDOWS\zloader3.exe non trouvé
    C:\WINDOWS\Web\desktop.html non trouvé
    C:\WINDOWS\Web\wallpaper.html non trouvé
    C:\WINDOWS\system32\helper.exe non trouvé
    Problème suppression C:\WINDOWS\system32\hhk.dll
    C:\WINDOWS\system32\hookdump.exe non trouvé
    Problème suppression C:\WINDOWS\system32\hp????.tmp
    C:\WINDOWS\system32\intel32.exe non trouvé
    Problème suppression C:\WINDOWS\system32\intmon.exe
    C:\WINDOWS\system32\intmonp.exe non trouvé
    C:\WINDOWS\system32\msmsgs.exe non trouvé
    C:\WINDOWS\system32\msole32.exe non trouvé
    C:\WINDOWS\system32\ole32vbs.exe non trouvé
    C:\WINDOWS\system32\oleadm.dll non trouvé
    C:\WINDOWS\system32\oleadm32.dll non trouvé
    C:\WINDOWS\system32\perfcii.ini non trouvé
    Problème suppression C:\WINDOWS\system32\shnlog.exe
    C:\WINDOWS\system32\spoolsrv32.exe non trouvé
    C:\WINDOWS\system32\runsrv32.dll non trouvé
    C:\WINDOWS\system32\runsrv32.exe non trouvé
    C:\WINDOWS\system32\srpcsrv32.dll non trouvé
    C:\WINDOWS\system32\srpcsrv32.exe non trouvé
    C:\WINDOWS\system32\txfdb32.dll non trouvé
    C:\WINDOWS\system32\w8673492.exe non trouvé
    C:\WINDOWS\system32\winnook.exe non trouvé
    C:\WINDOWS\system32\wldr.dll non trouvé
    C:\WINDOWS\system32\wp.bmp supprimé

    C:\Program Files\AdwareDelete\ non trouvé
    C:\Program Files\AntivirusGold\ non trouvé
    C:\Program Files\PSGuard\ non trouvé
    C:\Program Files\Search Maid\ non trouvé
    C:\Program Files\Security IGuard\ non trouvé
    C:\Program Files\SpySheriff\ non trouvé
    C:\Program Files\Virtual Maid\ non trouvé
    C:\spywarevanisher-free\ non trouvé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Qu'en penses-tu ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Apparement ils font de la resistance...

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

    O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB231.tmp

    valider avec [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    relance le fix sur l'option 2, et important sauvegarde le rapport

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    redemarre le pc normallement et reposte un hijack + le rapport du fix

    a+
    0
  6. ejoubaud Messages postés 13 Statut Membre
     
    hello,

    bon il y a du neuf : l'écran bleu avec le security message a disparu et la page d'accueil n'est plus oneclicksearches.com, comme tu peux t'en douter.

    Par contre, j'ai toujours le truc bizarre avec l'installer d'Adobe reader qui se déclenche tout seul... un autre trojan ?

    voici les logs

    Logfile of HijackThis v1.99.1
    Scan saved at 19:13:27, on 08/07/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\T-Online\T-Online_Software_5\Browser\Browser.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FD88E557-D6E7-4E59-84AC-FB0F6DB05F7C}: NameServer = 217.237.150.33 217.237.151.161
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    et celui de smitfraud

    SmitFraudFix v0.5

    Rapport fait à 19:04:10,07 le 08/07/2005
    Executé à partir de C:\Program Files
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    Processus arreté: AntivirusGold.exe
    Processus arreté: bsw.exe
    Processus arreté: helper.exe
    Processus arreté: hookdump.exe
    Processus arreté: intel32.exe
    Processus arreté: intmon.exe
    Processus arreté: intmonp.exe
    Processus arreté: msmsgs.exe
    Processus arreté: msole32.exe
    Processus arreté: ole32vbs.exe
    Processus arreté: ongi.exe
    Processus arreté: popuper.exe
    Processus arreté: r.exe
    Processus arreté: runsrv32.exe
    Processus arreté: shnlog.exe
    Processus arreté: spoolsrv32.exe
    Processus arreté: uninst.exe
    Processus arreté: uninstIU.exe
    Processus arreté: w8673492.exe
    Processus arreté: winnook.exe
    Processus arreté: winstall.exe
    Processus arreté: wp.exe
    Processus arreté: zloader3.exe

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\bsw.exe non trouvé
    C:\r.exe non trouvé
    C:\winstall.exe non trouvé
    C:\wp.bmp non trouvé
    C:\wp.exe non trouvé
    C:\WINDOWS\desktop.html non trouvé
    C:\WINDOWS\popuper.exe non trouvé
    C:\WINDOWS\screen.html non trouvé
    C:\WINDOWS\sites.ini non trouvé
    C:\WINDOWS\uninstIU.exe non trouvé
    C:\WINDOWS\zloader3.exe non trouvé
    C:\WINDOWS\Web\desktop.html non trouvé
    C:\WINDOWS\Web\wallpaper.html non trouvé
    C:\WINDOWS\system32\helper.exe non trouvé
    C:\WINDOWS\system32\hhk.dll supprimé
    C:\WINDOWS\system32\hookdump.exe non trouvé
    C:\WINDOWS\system32\hp????.tmp non trouvé
    C:\WINDOWS\system32\intel32.exe non trouvé
    C:\WINDOWS\system32\intmon.exe supprimé
    C:\WINDOWS\system32\intmonp.exe non trouvé
    C:\WINDOWS\system32\msmsgs.exe non trouvé
    C:\WINDOWS\system32\msole32.exe non trouvé
    C:\WINDOWS\system32\ole32vbs.exe non trouvé
    C:\WINDOWS\system32\oleadm.dll non trouvé
    C:\WINDOWS\system32\oleadm32.dll non trouvé
    C:\WINDOWS\system32\perfcii.ini non trouvé
    C:\WINDOWS\system32\shnlog.exe supprimé
    C:\WINDOWS\system32\spoolsrv32.exe non trouvé
    C:\WINDOWS\system32\runsrv32.dll non trouvé
    C:\WINDOWS\system32\runsrv32.exe non trouvé
    C:\WINDOWS\system32\srpcsrv32.dll non trouvé
    C:\WINDOWS\system32\srpcsrv32.exe non trouvé
    C:\WINDOWS\system32\txfdb32.dll non trouvé
    C:\WINDOWS\system32\w8673492.exe non trouvé
    C:\WINDOWS\system32\winnook.exe non trouvé
    C:\WINDOWS\system32\wldr.dll non trouvé
    C:\WINDOWS\system32\wp.bmp non trouvé

    C:\Program Files\AdwareDelete\ non trouvé
    C:\Program Files\AntivirusGold\ non trouvé
    C:\Program Files\PSGuard\ non trouvé
    C:\Program Files\Search Maid\ non trouvé
    C:\Program Files\Security IGuard\ non trouvé
    C:\Program Files\SpySheriff\ non trouvé
    C:\Program Files\Virtual Maid\ non trouvé
    C:\spywarevanisher-free\ non trouvé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Merci en tout cas, si tu as une idée pour le prob de l'installer ?
    0
  7. Utilisateur anonyme
     
    salut

    Content pour toi, mais essaye quand meme de faire un scan en ligne.

    pour l'installer d'adobe

    lance hijack et fixe cette ligne
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

    ensuite redemarre le pc et dis moi s'il se lance toujours

    a+
    0
  8. ejoubaud Messages postés 13 Statut Membre
     
    salut moe,

    bon tout fonctionne comme avant, pas de trace de l'installeur.
    Tu avais tout juste.

    J'ai fait un scan en ligne avec Panda, il a trouvé un adware

    Merci pour le coup de main et bonne soirée !!!

    Emmanuel
    0
  9. Utilisateur anonyme
     
    salut

    Content pour toi ;-)

    Par curiosité, c'est quoi comme adware et ou est ce qu'il se trouve ?

    a+
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut moe
    ton fix est operationnel?
    0
  11. ejoubaud Messages postés 13 Statut Membre
     
    salut Moe,

    voici le log du scan de panda, dans le désordre, désolé...

    Incident Statut Analyse

    Adware:Adware/SaveNow No Désinfecté Registre Windows
    0
  12. Utilisateur anonyme
     
    salut balltrap

    Oui, et grace à s!ri qui peaufine sans cesse la partie script:

    Je t'explique ce qu'il fait exactement:
    dans ca version 0.6, la derniere pour l'instant dispo sur le site de siri
    et updaté au fur et à mesure des modifs.
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    2 options:
    option 1 : rechercher/rapport
    génère un log avec les fichiers trouvés et en plus précise si wininet.dll est infectée.

    option 2 : fix

    supprime les fichiers détectés.
    une fois fais le prog demande si on veut nettoyer le registre o/n
    si oui, en gros c'est le reg de bleeping qui est fusionné.
    et dans le cas ou wininet est infectée il est demandé à l'utilisateur s'il veut reparer avec choix o/n.
    Siri à trouvé un moyen de vérifier si une copie de wininet de meme version est dispo et si c'est le cas, le prog s'occupe du remplacement, plus besoin de le faire manuellement, sinon dans le log c'est mentionné + rapport qu'il faut sauvegarder si manips en sans echec.
    Tout ceci en complément des fix dans hijack bien sur.

    a+
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol vous avez bosser et question batch sr en connait un rayon
    donne moi le lien du fix stp
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol je rentere dune dur semaine de boulot 3600 km
    donc je suis pardonner
    0