Trojan ? Spyware ?

megataupe · le 9 juin 2005

Tous les signes d'une infection par Smitfraud...

515039[/snapback]

Salut Stonangel :-( . Oui, ou une variante, et celui-là c'est pas un cadeau pour l'extraire du PC .

S.Birkoff · le 9 juin 2005

Bonjour,

Telecharge les programmes suivants :

1 - Va tout d'abord dans Ajout/Supr de programmes et desinstalle ces programes (si tu les trouvent):

Security IGuard

Virtual Maid

Search Maid

Puis ferme toutes les fenetres et mets smitfraud.reg sur ton bureau, ensuite double clique dessus, lorsque l'on te demande de cofirmer le fusionnement clique sur Oui. Attends d'avoir le message "fusionné avec succés" et ensuite supprime le fichiersmitfraud.reg.

2 - Assure toi d'avoir accès à tous les fichiers :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

3 - Lance Killbox

4 - Une fois le programme ouvert selectionnel'option "Delete on reboot"

5 - Copie/colle la liste suivantes dans le notepad ( bloc-notes) :

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\hhk.dll

C:\Windows\System32\wldr.dll

C:\Windows\System32\helper.exe

C:\Windows\System32\intmon.exe

C:\Windows\System32\shnlog.exe

C:\Windows\system32\perfcii.ini

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\system32\msole32.exe

C:\Windows\System32\ole32vbs.exe

5.5 - Colle tout le contenu du fichier suivant dans fichier .texte que tu nommeras CODE.

Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

6 - Return dans la killbox et va dans le menu fichier et selectionne "Paste from Clipboard"

7 - Clique sur le bouton avec une croix rouge et blanche et clique sur yes lorsqu'il avertisse du kill on reboot ( l'ordinateur va redemarré).

8 - Pendant que ton ordinateur redemare, profite en pour alleer en mode sans echec ( F8 au démarrage).

9 - Supprime ces dossiers si tu les trouvent :

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Windows\System32\Log Files

C:\Program Files\Security IGuard

Puis recache tes fichiers pour ne pas faire de bétises plus tard.

10 - Lance Hijackthis ( toujours en mode sans echec) et coche les lignes ci dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA708.tmp

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

11 - Lance Hoster et clique sur Restore original host. Une fois cela fait quitte le programme.

12 - Ensuite CLIC DROIT sur DelDomains.inf et choisi Install

13 - Enfin lance CleanUp! et clique sur le bouton CleanUp!

Puis redemarreet reposte un log hijackthis.

S.B

Ps : J'espere que j'ai bien expliqué pour l'étape avec killbox et le copie/colle avec le notepad, si vous avez plus explicite je suis preneur.

edit : modif de la méthode apres verif

re-edit : Bonjour queruak! je te laisse ce cas delicat

rere edit : aucun problème, il vaut même mieux que tu t'en charge c'est pas des plus simples :-(

Modifié le 9 juin 2005 par S.Birkoff

queruak · le 9 juin 2005

Edition:

Excuse moi Birkoff ! j'ai posté sans voir ta réponse !

Bonjour,

Si tu n'as pas encore formaté ,fais ceci:

Re,

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail
Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

-2-Télécharge les outils suivants:

*PocketKillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

*DelDomain.inf

http://www.mvps.org/winhelp2002/restricted.htm

*EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

*Hoster

http://www.funkytoad.com/download/hoster.zip

*Smitfaurd.reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

IMPORTANT

Tu dois effectuer toutes les corrections HORS CONNEXION.Imprime cette page

-3-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s):

Security IGuard

Virtual Maid

Search Maid

Spywarevanisher

-4-Clic droit sur

ce fichier >Enregistrer la cible sous, et tu télécharges ce fichier sur ton bureau.

Une fois téléchargé, double-clique sur smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.

Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg

-5-Lance PocketKillBox, coche la case "Delete on reboot". Ne pas fermer le programme.

Fais Démarrer ->Exécuter, tape notepad, un fichier bloc-notes s'ouvre

Ensuite tu fais Ctrl-A pour sélectionner tout le texte suivant , Ctrl-C pour le copier dans le presse papier.

C:\wp.exe
C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\WINDOWS\system32\hpA708.tmp

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmon.exe

Sur PocketKillBox-->File-->Paste from Clipboard,tu cliques ensuite sur la croix rouge

Au deux méssages qui vont s'afficher,tu réponds par "YES"

-6-Redémarre en mode sans echec.

Comment démarrer Windows XP en mode sans échec

-7-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA708.tmp

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [intel system tool] C:\WINDOWS\System32\winnook.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

-8-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

-9-Supprime les fichiers et dossiers suivants.

C:\WINDOWS\System32\winnook.exe <-le fichier

C:\Program Files\Search Maid<-le dossier

C:\Program Files\Virtual Maid<-le dossier

C:\Windows\System32\Log Files<-le dossier

C:\Program Files\Security IGuard<-le dossier

-Vide la corbeille.

-10-Redémarre normalement

-11-Ouvre Hoster,et clique sur "Restore Original Hosts" ---> "OK"

Quitte le programme.

-12-Fais un clic droit le fichier Del_Domains.inf -->Installer

-13-Lance et exécute EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose.

-14-Redémarre et poste un nouveau rapport hijackthis.

Modifié le 9 juin 2005 par queruak

Connexion

Pas encore inscrit ?

Trojan ? Spyware ?

Messages recommandés

megataupe

S.Birkoff

queruak

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer