Trojan.spy.html.smithfraud.c

GianCarlo · le 31 mai 2005

Salut à tous c'est mon premier passage sur Zebulon.

Voilà j'ai un problème avec une saleté de Trojan.spy.html.smithfraud.c depuis quelque temps, j'ai utilisé Norton, Spyboot, adaware et compagnie mais impossible de me défaire de l'intrus, alors je poste sur le forum le log Hijackthis de mon pc en espérant trouver de l'aide.

Par avance merci

Logfile of HijackThis v1.99.1

Scan saved at 17:03:49, on 31/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\System32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\windows\system32\slserv.exe

C:\windows\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\windows\System32\svchost.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\windows\system32\shnlog.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\windows\system32\intmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\windows\System32\userinit.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\windows\system32\hpD05B.tmp

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {5ABFDD35-7B8F-438E-9CD9-4081229F16ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5ABFDD35-7B8F-438E-9CD9-4081229F16ED} - (no file) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O15 - Trusted IP range: 206.161.125.149 (HKLM)

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O21 - SSODL: System - {830EDD44-6D03-4A77-943D-92B9DDB285B7} - C:\WINDOWS\system32\system32.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\windows\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

le 31 mai 2005

Bonjour et bienvenue sur Zébulon Sécurité. Je regarde ton rapport, réponse dans un moment.

le 31 mai 2005

Re,

1-Télécharge les outils suivants:

*PocketKillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

*DelDomain.inf

http://www.mvps.org/winhelp2002/restricted.htm

*Hoster

http://www.funkytoad.com/download/hoster.zip

*EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

*Smitfaurd.reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

IMPORTANT

Tu dois effectuer toutes les corrections HORS CONNEXION.Imprime cette page.

-2-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s):

Security IGuard

Virtual Maid

Search Maid

-3- Clic droit sur

ce fichier >Enregistrer la cible sous, et tu télécharges ce fichier sur ton bureau.

Une fois téléchargé, double-clique sur smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.

Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg

-4-Lance PocketKillBox, coche la case "Delete on reboot". Ne pas fermer le programme.

Fais Démarrer ->Exécuter, tape notepad, un fichier bloc-notes s'ouvre

Ensuite tu fais Ctrl-A pour sélectionner tout le texte suivant , Ctrl-C pour le copier dans le presse papier.

C:\wp.exe
C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\WINDOWS\system32\hp560F.tmp

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmon.exe

Sur PocketKillBox-->File-->Paste from Clipboard,tu cliques ensuite sur la croix rouge

Au deux méssages qui vont s'afficher,tu réponds par "YES"

-Redémarre en mode sans échec (F5 ou F8)

-5-Lance Hijackthis, scan et coche les lignes ci-dessous:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\windows\System32\userinit.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\windows\system32\hpD05B.tmp

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {5ABFDD35-7B8F-438E-9CD9-4081229F16ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5ABFDD35-7B8F-438E-9CD9-4081229F16ED} - (no file) (HKCU)

O15 - Trusted IP range: 206.161.125.149 (HKLM)

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O21 - SSODL: System - {830EDD44-6D03-4A77-943D-92B9DDB285B7} - C:\WINDOWS\system32\system32.dll (file missing)

-6-Ferme toutes les fenêtres Internet Explorer, Outlook Express sauf Hijackthis, puis clique sur "Fix checked"

-7-Supprime les fichiers et dossiers suivants s'ils sont encore présents:

C:\Program Files\Search Maid<-le dossier

C:\Program Files\Virtual Maid<-le dossier

C:\Program Files\Security IGuard<-le dossier

C:\WINDOWS\system32\system32.dll< le fichier

-8-Redémarre normalement

-9-Ouvre Hoster, et clique sur "Restore Original Hosts" ---> "OK"

Quitte le programme.

-10-Fais un clic droit le fichier Del_Domains.inf -->Installer

-11-Lance et exécute EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose.

-12-Redémarre et poste un nouveau rapport Hijackthis.

Méthologie: Queruak

GianCarlo · le 2 juin 2005

Salut Stonangel, merci pour ta réponse au sujet du trojan smithfraud,

j'ai téléchargé tous les outils sauf Easycleaner, un message d'erreur s'affiche à chaque tentative, je te donne des nouvelles dés que possible.

Encore merci

le 2 juin 2005

Salut,

n'oublies pas a la fin du nettoyage de mettre ces 2 adresses dans ton fichier hosts :

127.0.0.1 www.spywarevanisher.com

127.0.0.1 spywarevanisher.com

pour bloquer le hijacker

GianCarlo · le 2 juin 2005

C'est bon j'ai téléchargé Easycleaner je vais pouvoir me mettre au travail à bientôt

GianCarlo · le 3 juin 2005

Salut Stonangel et félicitations pour ta méthode d'élimination du trojan smithfraud, j'ai suivi à la lettre tes conseils et mon pc a retrouvé une nouvelle jeunesse.

Comme tu me le demandes je poste un nouveau rapport Hitjackthis pour que tu puisses le vérifier.

Encore une fois bravo et merci !!!

Logfile of HijackThis v1.99.1

Scan saved at 21:54:05, on 03/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\System32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\windows\system32\slserv.exe

C:\windows\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\windows\System32\svchost.exe

C:\windows\system32\wuauclt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)