PSguard/SpySheriff Résolu

Question

Salut,Comme d'autre je suis infecté par psguard (écran de warning à la place du bureau) + page IE de démarrage vers l'anti spyware.Voici le résultat de highjackthis 1.99[quote]Logfile of HijackThis v1.99.1Scan saved at 22:03:29, on 31/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\Ati2evxx.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\shnlog.exeC:\WINDOWS\system32\intmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Teamspeak2_RC2\TeamSpeak.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\World of Warcraft\WoW.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5CD5.tmpO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe[/quote]Merci d'avance de votre aideL.

jean38 · Answer

salut,alors comme d'autres fait ceci:telecharge smitfraudfix ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip dezippe le et lance le. choisis l'option 1 (rechercher) fais un copier/coller du résultat ici

ldaude · Answer

merci bon alors j'ai telechargé et dezippé.donc ca crée un fichier : SmitfraudFixavec un sous répertoire : SmitfraudFixet dedans un : reg.exeLorsque je clique sur reg.exe une fenêtre s'ouvre et se referme direct.Donc pas d'option 1 ni 2...Ce virus m'empeche egalement d'acceder à mes messageries (quand j'arrive sur la page de mes mails je retourne direct sur la page de telechargement de psguard).J'attend le suite de tes indications, merciL.

jean38 · Answer

faut cliquer sur l'autre fichier bat

moe31 · Answer

perdu lolsmitfraudfix.cmd

ldaude · Answer

losque je passe directemet par le fichier zip j'ai acces à un process.exe mais meme resultat : une fenetre s'ouvre et se referme immediatement

ldaude · Answer

Bon voila :SmitFraudFix v1.82Rapport fait à 22:26:48,89 le 31/08/2005Executé à partir de C:\Documents and Settings\L“L“\BureauOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWSC:\WINDOWS\popuper.exe PRESENT !C:\WINDOWS\sites.ini PRESENT !C:\WINDOWS\uninstIU.exe PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\systemC:\WINDOWS\system\svchost.exe PRESENT!»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32C:\WINDOWS\system32\hhk.dll PRESENT !C:\WINDOWS\system32\hp????.tmp PRESENT !C:\WINDOWS\system32\intell32.exe PRESENT !C:\WINDOWS\system32\intmon.exe PRESENT !C:\WINDOWS\system32\intmonp.exe PRESENT !C:\WINDOWS\system32\msmsgs.exe PRESENT !C:\WINDOWS\system32\ole32vbs.exe PRESENT !C:\WINDOWS\system32\oleext.dll PRESENT !C:\WINDOWS\system32\shnlog.exe  PRESENT !C:\WINDOWS\system32\wppp.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Bureau»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program FilesC:\Program Files\PSGuard\ PRESENT!»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 31/08/2005!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\pagefile.sysC:\ProgramC:\WINDOWSC:\WINDOWS\.C:\WINDOWS\..C:\WINDOWS\0.logC:\WINDOWS\bootstat.datC:\WINDOWS\DownloadedC:\WINDOWS\IE4C:\WINDOWS\infC:\WINDOWS\popuper.exeC:\WINDOWS\PrefetchC:\WINDOWS\q8313046_disk.dllC:\WINDOWS\SchedLgU.TxtC:\WINDOWS\sites.iniC:\WINDOWS\systemC:\WINDOWS\system32C:\WINDOWS\TempC:\WINDOWS\uninstIU.exeC:\WINDOWS\win.iniC:\WINDOWS\WindowsUpdate.logC:\WINDOWS\system32\.C:\WINDOWS\system32\..C:\WINDOWS\system32\checkIn.dllC:\WINDOWS\system32\Date.icoC:\WINDOWS\system32\hhk.dllC:\WINDOWS\system32\hp5CD5.tmpC:\WINDOWS\system32\intell32.exeC:\WINDOWS\system32\intmon.exeC:\WINDOWS\system32\intmonp.exeC:\WINDOWS\system32\LogFilesC:\WINDOWS\system32\msmsgs.exeC:\WINDOWS\system32
etwork.icoC:\WINDOWS\system32\ole32vbs.exeC:\WINDOWS\system32\shnlog.exeC:\WINDOWS\system32\spam.icoC:\WINDOWS\system32\spyware.icoC:\WINDOWS\system32\wpa.dblC:\WINDOWS\system32\wppp.html»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTDHKLM\SOFTWARE\SHUDDERLTD Présent !C:\WINDOWS\system32\wininet.dll infecté !»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 00F7-C763 R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE27/01/2005  19:12           662ÿ016 wininet.dll               1 fichier(s)          662ÿ016 octets R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE02/05/2005  22:58           663ÿ040 wininet.dll               1 fichier(s)          663ÿ040 octets R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE10/03/2005  09:48           662ÿ016 wininet.dll               1 fichier(s)          662ÿ016 octets R‚pertoire de C:\WINDOWS\$hf_mig$\KB896727\SP2QFE03/07/2005  04:10           663ÿ552 wininet.dll               1 fichier(s)          663ÿ552 octets R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$07/12/2004  20:17           594ÿ944 wininet.dll               1 fichier(s)          594ÿ944 octets R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$20/08/2004  01:09           660ÿ480 wininet.dll               1 fichier(s)          660ÿ480 octets R‚pertoire de C:\WINDOWS\$NtUninstallKB867282-IE6SP1-20050127.163319$24/04/2003  14:00           603ÿ136 wininet.dll               1 fichier(s)          603ÿ136 octets R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$10/03/2005  10:04           660ÿ992 wininet.dll               1 fichier(s)          660ÿ992 octets R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$27/01/2005  19:14           660ÿ992 wininet.dll               1 fichier(s)          660ÿ992 octets R‚pertoire de C:\WINDOWS\$NtUninstallKB896727$02/05/2005  22:57           662ÿ016 wininet.dll               1 fichier(s)          662ÿ016 octets R‚pertoire de C:\WINDOWS\ServicePackFiles\i38620/08/2004  01:09           660ÿ480 wininet.dll               1 fichier(s)          660ÿ480 octets R‚pertoire de C:\WINDOWS\system3203/07/2005  04:16           662ÿ528 wininet.dll               1 fichier(s)          662ÿ528 octets»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

jean38 · Answer

OK alors maintenant,alors voila ce que tu vas faire, 1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran) 4) relance le prog http://siri.urz.free.fr/Fix/SmitfraudFix.zip choisi l'option 2 et accepte tout. (même nettoyage registre)copie le log ensuite. 5)redemarre lance Hijack puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici. A+

ldaude · Answer

Super cela semble etre eradiqué !Voici le dernier log du nettoyage en sans echec : SmitFraudFix v1.82Rapport fait à 22:37:43,46 le 31/08/2005Executé à partir de C:\Documents and Settings\L“L“\BureauOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésProblème suppression C:\WINDOWS\system32\oleext.dll »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportet voici le log du highjackthis apres etre revenu en mode normal :Logfile of HijackThis v1.99.1Scan saved at 22:39:17, on 31/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\Ati2evxx.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\WINDOWS\system32\userinit.exeC:\WINDOWS\Explorer.EXEC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeEn tout cas un tout grand merci.Penses tu que le problème est totalement écarté ?(pu de probleme de page de demarrage ni de probleme de fond d'ecran en tout cas).Encore merci !

jean38 · Answer

je ne comprends pas pourquoi tu n'as pas deO4???lance hijack,ferme le bloc note et coche les cases devant les lignes:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ refait un log et revient demain je ne comprends pas pourquoi rien ne se charge au demarrage.

ldaude · Answer

Ok,Bon j'ai checked reste plus que les 023 mais pas de 04.C'est grave docteur ?

jean38 · Answer

je cherche de l'aide car là je calle et c'est surprenant, pas que je calle mais pas de O4

ldaude · Answer

Mais c'est quoi O4 ? Tu as l'air d'en parler comme si c'était aussi important que des dll windows :)

jean38 · Answer

les O4 ce sont tous les programmes chargés au demarrage.pour plus info, jette un oeil là:http://www.zebulon.fr/articles/HijackThis.phpencore bravo à balltrap34

ldaude · Answer

En tout cas merci, tout semble Ok pour le moment.Bonne nuit

balltrap34 · Answer

salut il me semble bizard que l ont ne vois meme pas ton anti virus au demarrage alors plusieurs cas1)tu l active manuellement a chaque demarrage2) tu nas pas d anti virus actif3)tu as bien fait le hijack en mode normal

ldaude · Answer

pas d'antivirus

jean38 · Answer

wahou pas bienva vite sur le sitePour des infos plus détaillées et claires concernant la sécurité en général, voir ici http://sebsauvage.net/ et plus particulièrement http://sebsauvage.net/safehex.html .   et charge un pare feu et un anti virus gratuit et performant.

ldaude · Answer

Ok et encore merci.Vous êtes la meilleure hot-line du net ^^

jean38 · Answer

no c'est trop... mais tellement vrai...lolA+

balltrap34 · Answer

re et quand tu auras tous celapense a desactiver le pare feu de xpfaire une bonne mise a jour de l anti virus et ensuite de scanner avec

Mummy · Answer

Bonsoir,Moi, j'ai tout listé avec plusieurs antivirus, firewall et autres...Et j'ai tout enlevé à la main...Ce fut fastidieux, mais ça remarche...A quoi servent vos hijack ?

balltrap34 · Answer

pourquoi poser la question puisque tu t est debrouiller

PSguard/SpySheriff - Page 2

Discussions similaires

Newsletters