PSguard/SpySheriff

Résolu/Fermé
ldaude - 31 août 2005 à 22:07
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 11 sept. 2005 à 19:41
Salut,

Comme d'autre je suis infecté par psguard (écran de warning à la place du bureau) + page IE de démarrage vers l'anti spyware.

Voici le résultat de highjackthis 1.99

[quote]
Logfile of HijackThis v1.99.1
Scan saved at 22:03:29, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\World of Warcraft\WoW.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5CD5.tmp
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe[/quote]

Merci d'avance de votre aide

L.

22 réponses

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 22:09
salut,

alors comme d'autres fait ceci:



telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici

0
merci bon alors j'ai telechargé et dezippé.

donc ca crée un fichier : SmitfraudFix

avec un sous répertoire : SmitfraudFix

et dedans un : reg.exe

Lorsque je clique sur reg.exe une fenêtre s'ouvre et se referme direct.

Donc pas d'option 1 ni 2...

Ce virus m'empeche egalement d'acceder à mes messageries (quand j'arrive sur la page de mes mails je retourne direct sur la page de telechargement de psguard).

J'attend le suite de tes indications, merci

L.
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 22:25
faut cliquer sur l'autre fichier bat
0
Utilisateur anonyme
31 août 2005 à 22:26
perdu lol

smitfraudfix.cmd
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
losque je passe directemet par le fichier zip j'ai acces à un process.exe mais meme resultat : une fenetre s'ouvre et se referme immediatement
0
Bon voila :

SmitFraudFix v1.82

Rapport fait à 22:26:48,89 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\popuper.exe PRESENT !
C:\WINDOWS\sites.ini PRESENT !
C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

C:\WINDOWS\system\svchost.exe PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\intmonp.exe PRESENT !
C:\WINDOWS\system32\msmsgs.exe PRESENT !
C:\WINDOWS\system32\ole32vbs.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\PSGuard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 31/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Downloaded
C:\WINDOWS\IE4
C:\WINDOWS\inf
C:\WINDOWS\popuper.exe
C:\WINDOWS\Prefetch
C:\WINDOWS\q8313046_disk.dll
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\sites.ini
C:\WINDOWS\system
C:\WINDOWS\system32
C:\WINDOWS\Temp
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\win.ini
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\checkIn.dll
C:\WINDOWS\system32\Date.ico
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\hp5CD5.tmp
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\LogFiles
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00F7-C763

R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE

27/01/2005 19:12 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets

R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

02/05/2005 22:58 663ÿ040 wininet.dll
1 fichier(s) 663ÿ040 octets

R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

10/03/2005 09:48 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets

R‚pertoire de C:\WINDOWS\$hf_mig$\KB896727\SP2QFE

03/07/2005 04:10 663ÿ552 wininet.dll
1 fichier(s) 663ÿ552 octets

R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$

07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB867282-IE6SP1-20050127.163319$

24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$

10/03/2005 10:04 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$

27/01/2005 19:14 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB896727$

02/05/2005 22:57 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets

R‚pertoire de C:\WINDOWS\ServicePackFiles\i386

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\system32

03/07/2005 04:16 662ÿ528 wininet.dll
1 fichier(s) 662ÿ528 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 22:32
OK alors maintenant,

alors voila ce que tu vas faire,

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) relance le prog

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

choisi l'option 2 et accepte tout. (même nettoyage registre)

copie le log ensuite.

5)redemarre

lance Hijack puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

A+
0
Super cela semble etre eradiqué !

Voici le dernier log du nettoyage en sans echec :

SmitFraudFix v1.82

Rapport fait à 22:37:43,46 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\WINDOWS\system32\oleext.dll



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


et voici le log du highjackthis apres etre revenu en mode normal :

Logfile of HijackThis v1.99.1
Scan saved at 22:39:17, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

En tout cas un tout grand merci.

Penses tu que le problème est totalement écarté ?
(pu de probleme de page de demarrage ni de probleme de fond d'ecran en tout cas).

Encore merci !
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 22:49
je ne comprends pas pourquoi tu n'as pas deO4???

lance hijack,
ferme le bloc note et coche les cases devant les lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/

refait un log et revient demain je ne comprends pas pourquoi rien ne se charge au demarrage.


0
Ok,

Bon j'ai checked reste plus que les 023 mais pas de 04.

C'est grave docteur ?
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 22:58
je cherche de l'aide car là je calle et c'est surprenant, pas que je calle mais pas de O4
0
Mais c'est quoi O4 ? Tu as l'air d'en parler comme si c'était aussi important que des dll windows :)
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 23:02
les O4 ce sont tous les programmes chargés au demarrage.

pour plus info, jette un oeil là:
http://www.zebulon.fr/articles/HijackThis.php

encore bravo à balltrap34
0
En tout cas merci, tout semble Ok pour le moment.

Bonne nuit
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
31 août 2005 à 23:09
salut il me semble bizard que l ont ne vois meme pas ton anti virus au demarrage
alors plusieurs cas
1)tu l active manuellement a chaque demarrage
2) tu nas pas d anti virus actif
3)tu as bien fait le hijack en mode normal
0
pas d'antivirus
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 23:13
wahou

pas bien
va vite sur le site


Pour des infos plus détaillées et claires concernant la sécurité en général, voir ici http://sebsauvage.net/ et plus particulièrement http://sebsauvage.net/safehex.html .
et charge un pare feu et un anti virus gratuit et performant.

0
Ok et encore merci.

Vous êtes la meilleure hot-line du net ^^
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
31 août 2005 à 23:15
no c'est trop... mais tellement vrai...lol

A+
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
31 août 2005 à 23:17
re et quand tu auras tous cela
pense a desactiver le pare feu de xp
faire une bonne mise a jour de l anti virus et ensuite de scanner avec
0