INFECTION SPYWARE

[JACQUES29]

Comme beaucoup de collègues internaute, je suis infecté par Spyware Strike et comme tout le monde c'est l'enfer.

Pouvez-vous me dire ce que je dois faire.

Ci-joint le rapport HijackThis de la machine.

Merci beaucoup et heureusement que vous êtes là pour nous aider.

A+

Jacques

 

Logfile of HijackThis v1.99.1

Scan saved at 18:11:12, on 06/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe

C:\WINDOWS\System32\mssearchnet.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe

C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\nvctrl.exe

C:\Documents and Settings\acer\Mes documents\mes telechargements\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp93F4.tmp

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [spywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137056958250

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab

O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} - http://www.quest3d.com/Quest3D_WebInstall.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/playe...5/installer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

[kevin76]

Bonjour JACQUES029,

 

Applique la procedure de megataupe ICI dans un premier temps

 

@+

 

PS: Tu as poster dans le mauvais forum, si un modo peut deplacer le sujet merci

Modifié le 7 février 2006 par kevin76

[JACQUES29]

Bonjour JACQUES029,

 

Applique la procedure de megataupe ICI dans un premier temps

 

@+

 

PS: Tu as poster dans le mauvais forum, si un modo peut deplacer le sujet merci

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

Merci Kevin

 

Je suis nouveau sur ce forum et connais pas tout encore

 

Sympa

 

a+

 

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

[lolokiss]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

Merci Kevin

 

Je suis nouveau sur ce forum et connais pas tout encore

 

Sympa

 

a+

 

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

 

 

Avec le mulet qui traine en auto-start pas étonnant d'avoir des soucis

à moins que quelqu'un ne me contredise !!

et au hazarad : MSNMGS c'est pas msn + ? je sais plus

si c'est le cas ça fait 2 surtout s'il a été installé avec les sponsors

[Thanos]

salut @ tous

 

Il va falloir te débarrasser de smtifraud qui a infecté ton pc:

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

 

Poste le rapport ici.

 

Redémarre en mode sans échec, (en tapotant sur la touche F8 au démarrage du pc)

 

relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

 

Poste le nouveau rapport puis un nouveau log HijackThis après avoir effectué la procédure.

 

Pour ce qui est d'eMule , lis ceci et tu comprendras pourquoi tu est infecté(lolokiss a raison!)=>

 

http://forum.zebulon.fr/index.php?showtopic=85544

Modifié le 7 février 2006 par charles ingals

[lolokiss]

Salut ;

Charles S'il te plaît pourrais tu me dire à quel endroit tu le vois celui là ; car je me crève les yeux à le trouver et que dalle !!

Vu que j'essaie d'apprendre ça m'aiderait beaucoup

 

Merci

[Thanos]

re

 

Une recherche par exemple sur la Clsid suivante =>

 

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp93F4.tmp

te donnerai ceci chez Castelcops =>

 

http://castlecops.com/tk28525-HomepageBHO.html

 

Mais plusieurs fichiers que l'on retrouve sur les rapports sont liés à cette infection=>

 

C:\WINDOWS\System32\mssearchnet.exe

 

C:\WINDOWS\System32\hp93F4.tmp

 

O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h => un des nombreux utilitaires douteux installés (mais aussi SpyAxe , Spysherrif....)

 

Il y a beaucoup d'autres fichiers qui peuvent apparaitre! on les reconnais avec le temps!Mais c'est un spyware qui évolue au gré des fix crées pour le contrer, aussi de nouvelles variantes apparaissent régulièrement pour déjouer les détections: il faut garder l'oeil ouvert!

[lolokiss]

 

 

Mais plusieurs fichiers que l'on retrouve sur les rapports sont liés à cette infection=>

 

C:\WINDOWS\System32\mssearchnet.exe

 

C:\WINDOWS\System32\hp93F4.tmp

 

O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h => un des nombreux utilitaires douteux installés (mais aussi SpyAxe , Spysherrif....)

 

 

 

Bonjour Charles , et les autres aussi

 

Merci d'avoir prit le temps de réponse

 

Les deux premiers , je ne risquais pas de les lever (arpet bleu novice pour le moment ) par contre Spyware strike devais avoir un sacré paquet de poussière dans les yeux !

 

Je te remercie aussi beaucoup pour le lien Castelcops (m'est avis que quand on démarre ça doit être très utile et plus tard aussi !)

Ca reflète bien ce que je pense : Internet est un FORMIDABLE outil (Malheureusement qui peut s'avérer être aussi très Dangereux )

Encore merci et @ bientôt pour un autre cours si tu es d'accord !!