Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

smart-search.biz

eorwil

Par eorwil
dans Analyses et éradication malwares

 Partager

Messages recommandés

eorwil Junior Member

eorwil

Posté(e)
Posté(e)

j'arrive toujours sur cette page de démarage que j'arrive pas à enlever. j'ai beau fixé avec hijackthis toutes les lignes contenant "smart-search" rien n'y fait ça revient.

 

Logfile of HijackThis v1.99.1

Scan saved at 11:43:53, on 22/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~2\WinZip\winzip32.exe

C:\DOCUME~1\jeff\LOCALS~1\Temp\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.smart-search.biz

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.smart-search.biz

F3 - REG:win.ini: run=

O1 - Hosts: auto.search.msn.com 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sxgTkBar] SxgTkBar.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O13 - DefaultPrefix: http://www.smart-search.biz/best.php?url=

O13 - WWW Prefix: http://www.smart-search.biz/best.php?url=

O13 - Home Prefix: http://www.smart-search.biz/best.php?url=

O13 - Mosaic Prefix: http://www.smart-search.biz/best.php?url=

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://19311.kit.carpediem.fr/ParisVoyeur.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

 

 

Please help me :P

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonjour eorwil, bonjour à tous je regarde ton rapport réponse dans un moment.

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Re, télécharge cet utilitaire CWShredder:

 

http://www.intermute.com/spysubtract/cwshr...r_download.html

 

Dézippe le dans un répertoire alloué et place un raccourci sur le bureau.

 

Démarre en mode sans échec (F8 ou F5). Lance CWShredder puis clique sur Fix.

 

Démarre Hijackthis Do asystem scan only assure toi que la case Make backups before fixing items est activée puis coche les lignes en gras suivantes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.smart-search.biz

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.smart-search.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smart-search.biz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.smart-search.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.smart-search.biz

F3 - REG:win.ini: run=

O1 - Hosts: auto.search.msn.com 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime < non infectieuse, consomme des ressources

O4 - HKLM\..\Run: [sxgTkBar] SxgTkBar.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe <inutile

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE < consommatrice de ressources

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O13 - DefaultPrefix: http://www.smart-search.biz/best.php?url=

O13 - WWW Prefix: http://www.smart-search.biz/best.php?url=

O13 - Home Prefix: http://www.smart-search.biz/best.php?url=

O13 - Mosaic Prefix: http://www.smart-search.biz/best.php?url=

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://19311.kit.carpediem.fr/ParisVoyeur.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

Ferme toutes les fenêtres tous les programmes puis clique sur Fix checked

 

Démarre normalement et poste un nouveau rapport pour vérification

Modifié par Stonangel
eorwil Junior Member

eorwil

Posté(e)
  • Auteur
Posté(e)

Merci. :P

 

En ettendant j'ai fait une restauration du système et ça à l'air d'avoir fonctionné.

 

Je vais voir si ça revient dans ce cas j'essaierais ce que tu as dis.

 

merci encore d'avoir planché dessus.

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour à tous,

 

Merci. :-(

 

En ettendant j'ai fait une restauration du système et ça à l'air d'avoir fonctionné.

 

Je vais voir si ça revient dans ce cas j'essaierais ce que tu as dis.

 

merci encore d'avoir planché dessus.

491554[/snapback]

 

Salut eorwill,et bienvenue sur Zebulon-Sécurité !:P

 

Je sais que ce que je veux dire ne va pas plaire,mais moi aussi je n'ai pas aimé cette façon de faire.

La restauration remet le registre certes,mais n'efface pas les fichiers infectés,ils sont toujours sur le disque dur,de plus ne trouves tu pas que Stonangel a bossé pour rien!

L'analyse des rapports n'est pas une partie de plaisir,pour pouvoir arriver à la faire correctement il faut passer des heures et des heures à s'entrainer,passer par les forums les plus huppés en terme de sécurité,apprendre à connaitre les processus et fichiers légitimes et non légitimes,s'entrainer à analyser sur des milliers de rapports,la juste récompense est à mon avis "ecouter" les conseils de ces "helpers",et de ne pas poster pour demander de l'aide,ensuite n'en faire qu'à sa tete.

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Merci Queruak pour ton intervention qui me permet de souligner au passage l'excellence de tes analyses.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...