Se connecter / S'enregistrer
Votre question

Trojan-spy.html.smitfraud.c

Tags :
  • Html
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Avril 2005 00:54:52

Bonjour à tous,

je suis sous XP et je viens de me récupérer le virus TOJAN-SPY.html.smitfraud.

J'ai la fameuse page bleue à l'écran avec comme message : fatal error in IE at 0028:c0011e36 n VXD VMM(01) + 00010E36

J'ai tout essayé (MAJ d'antivirus et anti-tojan) dont voici la liste :

-A2free
-spybot
- nav 2005
- securer (en ligne)
- adaware
- the cleaner
- tojan remover

Démarage en mode sans echec, scan mais rien n'y fait

Voici donc le log de HijackThis.
Si quelqu'un veux bien me filer un coup de pouce, ça ne serait pas de refus

Merci à tous

Logfile of HijackThis v1.99.1
Scan saved at 00:41:41, on 15/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Cobian Backup 6\CobBU.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\kprdaem.exe
C:\Program Files\Cobian Backup 6\cobui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Corel\Graphics9\Register\Remind32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\a2 Free\a2start.exe
C:\Program Files\a2 Free\a2scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\windows\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wind-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wind-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wind-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wind-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://wind-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Cobian Backup 6] "C:\Program Files\Cobian Backup 6\CobBU.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [vqpcbqo] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [sebkbrn] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [hjmkxwb] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [hhhjbyj] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [flxkcfn] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [wqxmvln] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [llvfiff] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [xhbumqv] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [wondfpy] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [xvtedkq] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [pbtjuat] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [mwbpkys] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [hsdavmj] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [tppdwnu] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [amoxcnq] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [wcemvee] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [fvmbaum] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [fgcalqv] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [gsxaxiy] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [jdmjdqs] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [yydyicw] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [beeukkk] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [tjpdjln] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [vmlwxey] c:\windows\kprdaem.exe
O4 - HKCU\..\Run: [fcjihqf] c:\windows\vrjiimu.exe
O4 - HKCU\..\Run: [kvhqdkq] c:\windows\bcfudhr.exe
O4 - HKCU\..\Run: [ouwctay] c:\windows\bcfudhr.exe
O4 - HKCU\..\Run: [qmqkpmt] c:\windows\bcfudhr.exe
O4 - HKCU\..\Run: [qbdvsbm] c:\windows\bcfudhr.exe
O4 - HKCU\..\Run: [ykdmifn] c:\windows\bcfudhr.exe
O4 - Startup: Corel Registration.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD 2002 Fra\AcDcToday.ocx
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsetting...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD 2002 Fra\AcPreview.ocx
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe






Autres pages sur : trojan spy html smitfraud

15 Avril 2005 01:00:43

te fatigue pas....................

Peter pan m'a sauvé avec ca :

Vous en avez marre de ce trojan qui vous enleve votre fond d'ecran préferé et votre onglet "bureau", voici la solution qui a marché chez moi:

1/ dans demarrer puis rechercher, chercher les fichiers wp.exe et wp.bmp. Puis vous les supprimer...
2/ puis aller dans demarrer, executer, regedit, rechercher (edit, rechercher)les deux meme fichiers. Puis vous les supprimer...(une fois qu'il en a trouvé un vous le supprimer puis vous taper sur F3 pour chercher le suivant) .
3/enfin vous vous rendez la:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
vous modifiez les valeurs pour obtenir "0" comme si dessous:
"WallpaperStyle"=dword:00000000
"NoDispBackgroundPage"=dword:00000000

4/ vous fermez la base de registre et vous faites un clic droit sur le bureau et la c'est magique de retrouver l'onglet "bureau"
vous m'envoyez apres un petit mail pour me dire si ca a marché
Solution finale pour se debarrasser de trojan-spy.html.smitfraud.c

bon amusement
15 Avril 2005 01:24:26

Salut Rookierud

j'ai également un autre fichier : WP.EXE-24690EE6.pf

faut-il l'enlever aussi

Merci d'avance

Contenus similaires
15 Avril 2005 04:45:23

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wind-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wind-find.com/index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wind-find.com/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wind-find.com/sp.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://wind-find.com/index.htm

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll

O4 - HKCU\..\Run: [vqpcbqo] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [sebkbrn] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 17 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [hjmkxwb] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [hhhjbyj] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [flxkcfn] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [wqxmvln] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [llvfiff] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [xhbumqv] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [wondfpy] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [xvtedkq] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [pbtjuat] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [mwbpkys] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [hsdavmj] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [tppdwnu] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [amoxcnq] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [wcemvee] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [fvmbaum] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [fgcalqv] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [gsxaxiy] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [jdmjdqs] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [yydyicw] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [beeukkk] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [tjpdjln] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [vmlwxey] c:\windows\kprdaem.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [fcjihqf] c:\windows\vrjiimu.exe Inconnu
Inconnu
Taux de précision: 8 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [kvhqdkq] c:\windows\bcfudhr.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [ouwctay] c:\windows\bcfudhr.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [qmqkpmt] c:\windows\bcfudhr.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [qbdvsbm] c:\windows\bcfudhr.exe Inconnu
Inconnu
Taux de précision: -1 % (Résultats) Programme inconnu.
O4 - HKCU\..\Run: [ykdmifn] c:\windows\bcfudhr.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

Voila tout ce que tu doit faire disparaitre

aussi tien le lien pour faire analyser ton log :HiJackThis log analyser
15 Avril 2005 10:00:17

Merci à tous !

J'ai ENFIN réussi à retirer ce (ces) trojan(s) grâce à votre aide !

Merci Rookierud (et Peter Pan) et fire_dreams1 !

Bon WE et à la prochaine.

MicyZero

15 Avril 2005 13:41:31

De rien et revien voir si ta encore des prob lol!! ;-)
15 Avril 2005 14:57:04

salut pour ma part j'ai supprimé pas mal de trucs, j'ai ma page normal mais je n'ai que 5 onglets sur le menu propriétes du bureau que dois je faire ?
merci d'avance !
15 Avril 2005 15:44:40

salut,
ben 5 onglets c'est normal, moi aussi j'en ai 5 :-?
17 Avril 2005 13:36:00

J'ai lu dans tous les sens, les messages de ce forum pour le trojan-spy.html.smitfraud.c !!!!

Voici les démarches effectuées :
- effacer le fichier wp.bmp
- utilisation du logiciel hijackthis pour repérer les problèmes
- passer le rapport par le site d'évaluation
- effacer les fichiers évalués comme "méchants"
- impossible d'effacer le programme wp.exe par windows (malgré toutes les explications données ici), j'ai donc effacé cet élément par le DOS.
- j'ai suivi les instruction de passage dans Regedit pour retrouver les onglets du bureau.

CE QUI SE PASSE MAINTENANT :
- l'onglet bureau est à nouveau affiché, mais n'est pas utilisable (bug : tout est statique, on ne peut rien changer)
- les popup plubicitaires continent d'affluer en grand nombre dès que j'ouvre internet Explorer (malgré ma tentative d'effacer le fichier popuper.exe (C:\Windows\popuper.exe) - impossible même sous dos.

JE NE SAIS PLUS QUOI FAIRE !!!!
Quelqu'un peut-il m'aider ?????

Voici le rapport actuel du logiciel hyjackthis :

Logfile of HijackThis v1.99.1
Scan saved at 13:26:35, on 17.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\popuper.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Micro Application\Super Carnet d'adresses\CarnetAdresses.exe
C:\WINDOWS\system32\intmonp.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX14.609\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.572\HijackThis.exe /startupscan
O4 - Startup: AddressBook.lnk = C:\Program Files\Micro Application\Super Carnet d'adresses\CarnetAdresses.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

17 Avril 2005 16:50:13

ton log n'a rien d'anormal dedans donc ton pc va bien
18 Avril 2005 01:25:08

salut, j'ai aussi un probleme avec ce trojan, j'ai suivi les conseils de rookierud en supprimant les fichiers "wp"..., mais ca n'a rien donné. j'ai donc dl hijackthis mais j'y connai pas grand chose, alors si vous pouvez m'aider avec le log que voici :

Logfile of HijackThis v1.99.1
Scan saved at 0:15:52, on 18/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\msole32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Program Files\Spyware Nuker 2004\swn2.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
D:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Stock Temporaire\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 altavista.com
O1 - Hosts: 69.50.173.4 www.altavista.com
O1 - Hosts: 69.50.173.4 amazon.com
O1 - Hosts: 69.50.173.4 www.amazon.com
O1 - Hosts: 69.50.173.4 aol.com
O1 - Hosts: 69.50.173.4 www.aol.com
O1 - Hosts: 69.50.173.4 earthlink.net
O1 - Hosts: 69.50.173.4 www.earthlink.net
O1 - Hosts: 69.50.173.4 ebay.com
O1 - Hosts: 69.50.173.4 www.ebay.com
O1 - Hosts: 69.50.173.4 go.com
O1 - Hosts: 69.50.173.4 www.go.com
O1 - Hosts: 69.50.173.4 google.com
O1 - Hosts: 69.50.173.4 www.google.com
O1 - Hosts: 69.50.173.4 icq.com
O1 - Hosts: 69.50.173.4 www.icq.com
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 msn.com
O1 - Hosts: 69.50.173.4 www.msn.com
O1 - Hosts: 69.50.173.4 yahoo.com
O1 - Hosts: 69.50.173.4 www.yahoo.com
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 altavista.com
O1 - Hosts: 69.50.173.4 www.altavista.com
O1 - Hosts: 69.50.173.4 amazon.com
O1 - Hosts: 69.50.173.4 www.amazon.com
O1 - Hosts: 69.50.173.4 aol.com
O1 - Hosts: 69.50.173.4 www.aol.com
O1 - Hosts: 69.50.173.4 earthlink.net
O1 - Hosts: 69.50.173.4 www.earthlink.net
O1 - Hosts: 69.50.173.4 ebay.com
O1 - Hosts: 69.50.173.4 www.ebay.com
O1 - Hosts: 69.50.173.4 go.com
O1 - Hosts: 69.50.173.4 www.go.com
O1 - Hosts: 69.50.173.4 google.com
O1 - Hosts: 69.50.173.4 www.google.com
O1 - Hosts: 69.50.173.4 icq.com
O1 - Hosts: 69.50.173.4 www.icq.com
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 msn.com
O1 - Hosts: 69.50.173.4 www.msn.com
O1 - Hosts: 69.50.173.4 yahoo.com
O1 - Hosts: 69.50.173.4 www.yahoo.com
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 altavista.com
O1 - Hosts: 69.50.173.4 www.altavista.com
O1 - Hosts: 69.50.173.4 amazon.com
O1 - Hosts: 69.50.173.4 www.amazon.com
O1 - Hosts: 69.50.173.4 aol.com
O1 - Hosts: 69.50.173.4 www.aol.com
O1 - Hosts: 69.50.173.4 earthlink.net
O1 - Hosts: 69.50.173.4 www.earthlink.net
O1 - Hosts: 69.50.173.4 ebay.com
O1 - Hosts: 69.50.173.4 www.ebay.com
O1 - Hosts: 69.50.173.4 go.com
O1 - Hosts: 69.50.173.4 www.go.com
O1 - Hosts: 69.50.173.4 google.com
O1 - Hosts: 69.50.173.4 www.google.com
O1 - Hosts: 69.50.173.4 icq.com
O1 - Hosts: 69.50.173.4 www.icq.com
O1 - Hosts: 69.50.173.4 lycos.com
O1 - Hosts: 69.50.173.4 www.lycos.com
O1 - Hosts: 69.50.173.4 msn.com
O1 - Hosts: 69.50.173.4 www.msn.com
O1 - Hosts: 69.50.173.4 yahoo.com
O1 - Hosts: 69.50.173.4 www.yahoo.com127.0.0.1 e-finder.cc
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize313.exe"
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] E:\PROGRA~1\KASPER~1\KASPER~1\KASPER~2\OESpamTest.ExE
O4 - HKLM\..\Run: [KASP] "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {1C66CB52-6765-4C32-893E-3B78CBE3ECE2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1C66CB52-6765-4C32-893E-3B78CBE3ECE2} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {5AD23ED3-B62A-4C24-BA99-1EBDB83E7722} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5AD23ED3-B62A-4C24-BA99-1EBDB83E7722} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {677324A7-6B0B-47DE-BB28-CE07CAFA3E1F} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {677324A7-6B0B-47DE-BB28-CE07CAFA3E1F} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.club-internet.fr/EHMEL/JS/tdserver.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ypecwnpm.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/Bridge-c135...
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/...
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0486e53932fc2ecf3e17/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {99410CDE-6F16-42CE-9D49-3807F78F0287} (ZangoInstaller Class) - http://infinity.zango.com/gateway/resources/default/zan...
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDe...
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/fr/SysWebTelecomInt.ca...
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40o...
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

merci d'avance parce que pour moi c'est un peu du chinois
18 Avril 2005 01:35:34

bonjour ;-)

fais un copier/coller de ton rapport - ici -, pour évaluation
18 Avril 2005 08:23:32

Malheureusement, même si j'apprend que le PC va bien (à la lecture du rapport envoyé), les pages internet explorer continue de s'ouvrir avec les pop-up publicitaires.
De plus, même si l'onglet bureau est à nouveau réapparu, aucun des éléments n'est utilisable (on ne peut pas cliquer pour changer d'images, par exemple)

Je dois donc avoir encore un autre élément à effacer quelque part !
Et j'aimerais bien pouvoir expurger mon ordinateur de ce virus particulièrement encombrant !

18 Avril 2005 08:31:45

J"avais le même pb il y a deux jours. Je m'en suis sorti en faisant le ménage en mode safe, pour limiter les éxécutables lancés.
Sur ton log, j'ai vu 2 lignes suspectes:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
Et la suivante: chez moi, elle était lié au virus: je n'ai jamais installé iguard.
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
Mets toi en mode safe, find, et HitjackThis.
18 Avril 2005 10:03:04

Bonjour ,
j'ai le meme probleme j'ai fais les premieres étapes mais dans l'editeur de registre je n'ai pas ce fichier
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] j'ai seulement

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

18 Avril 2005 10:17:08

juste une derniere info deja je te remercie pour ton aide le pc de mes arents etaient infecte et je suis dessus depuis samedi soir.Et ca y est c bon tt remarche juste une derniere question:
pour mon papier peint il ne prend plus en compte que les formats Bitmap plus moyen de reconnaitre les jpeg dans le choix des fichiers d'arriere plan
comment je pe faire??
merci encore
18 Avril 2005 10:24:36

Voila mon logfile hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\VaL\Mes documents\logiciel\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_s...
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

18 Avril 2005 12:22:31

bonjour ;-)

je conseille également les analyses en ligne

@ krazykenny, l'évaluation te donne le nom des malwares

autrement j'ai également ce chemin HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

peut être du à une version pro de xp??
18 Avril 2005 16:04:21

salut,
ca va mieux, mon pc marche, j'ai un beau fond d'écran :-) et il rame moins. merci lame pour le site d'analyse du log. ;-)
par contre j'ai toujours "attention danger" qui clignotte dans la barre des taches :-( , comment faire pour virer le troyan, ou ressécuriser le pc?
18 Avril 2005 17:15:40

un autre topic sur ce trojan - ici -
18 Avril 2005 17:23:00

salut,
vu le nombre de rapport hijackthis à analyser en ce moment, je pense faire un tutorial hijackthis, à mettre, si possible en post-it...le problème c'est que c'est du boulot...
18 Avril 2005 17:24:36

il y en a un super sur un autre site, mais le problème c'est que c'est un autre forum, j'ai peur de ne pas avoir le droit de mettre le lien :-? .
18 Avril 2005 17:30:11

@ Lovelyboy, je me suis posé la même question

@ krazykenny, attention danger qui clignote?? peux tu donner plus de précisions

tes définitions de virus sont à jour??
19 Avril 2005 02:07:58

Salut salut,

Je viens (enfin j'espere) de me débarrasser de cette saleté : Virtual Maid...

Entre autre, cette ####rie se permet de modifier votre page d'accueil (hijacking), de rajouter des favoris vers divers casinos et site xxx, de modifier le registre pour créer des "alias" qui font que lorsque vous tapez notepad.exe, c'est un autre exe qui est appelé par le system...

Pour m'en débarasser, j'ai testé ad aware, hijack this, spybot, et kaspersky et cela en mode sans echec. Bilan : pas de grand resultats même s'ils ont supprimé quelques clefs nocives...

Du coup j'ai affiché par date les fichiers de mon system32 et je me suis aperçu que bon nombre de fichiers étaient apparuent, dont des exe comme msmsgs.exe (qui n'a rien a faire là), popuper.exe,
j'ai donc "tué" ceux qui étaient en cours (avec le petit soft killprocess) puis j'ai supprimé les exe nocifes. SURTOUT msole32.exe

J'ai supprimé toutes les clefs du registre qui appelaient ces ####ries et j'ai supprimé les "alias". Il faut aussi vous débarasser dans le registre de tout ce qui fait allusion à searchmaid

J'ai rebooté et le problème à l'air d'avoir disparu.

Voilà.
Désolé de ne pas être plus précis quand aux clefs supprimées mais je n'ai pas pris de notes précises alors au cas ou vous seriez vérolé par ce vilain vilain spyware, suivez ma "procédure" et vous devriez vous en sortir.

En résumé :

Faite tourner
Hijackthis en mode sans echec
ad aware en mode sans echec
Pour supprimer quelques clefs nocives concernant les searchmaid et virtual maid

Ensuite avec regedit
Supprimer toutes les clefs concernant : popuper.exe - msmsgs.exe - msole32.exe et le mots "searchmaid" et "virtual maid"

executez msconfig et décocher les exe cités si ils sont affichés dans la liste.

Vérifier ensuite si un des 3 exe tourne en tache de fond en faisant CTRL + ALT + SUP et "TUEZ" le processus en cours si il y en a un.
Allez dans votre windows/system32 puis supprimez manuellement ces exe.
Suprimez aussi dans votre "program files" le repertoire VIRTUAL MAID

Rebootez et tout devrait être ok.
21 Avril 2005 15:45:28

salut,
le "attention danger" qui clignote c'est le triangle jaune alerte, mais j'ai suivi les conseils de ar-s et il a l'air d'avoir disparu et (pour l'instant) je n'ai plus de signe du trojan.
j'ai egalement trouver dans le \WINDOWS\system32\ :
un fichier: popu_bl.dll
et un fichier MSMSGS.CAT dans une clé du dossier : system32\catroot\
ont-ils quelques chose a voir avec le trojan ou non?
a+
8 Mai 2005 03:54:42

Salut,
J'ai vu que ce trojan t'avais déjà pas mal occupé mais malgré ts les conseils donnés ds ces pages je n'arrive pas à regler mon problème.

En fait je suis sous Windows 2000 et j'ai chopé ce fameux truc il y à 2 jours.

Voici le message d'erreur:
A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c
* System can not function in normal mode. Please check you security settings.
*Scan your PC with any available antivirus / spyware remover program to fix this problem.

Le problème est que, après le démarrage de Windows, je n'ai même plus accès à ma session ! Qd je me log, je n'ai droit qu'à un écran bleu avec le fameux message d'erreur. Je n'ai plus accès à rien d'autre (menu démarrer ou autres), si ce n'est au gestionnaire des tâches ou encore aux commandes DOS en démarrant en mode "invite de commandes en mode sans échec"
Là je suis paumé et je n'ai pas vu de tels cas ds les différent posts. Mes connaissances en informatique st trop limitées pour faire face à cette s*****rie.....
Aurais-tu une idée qui m'éviterait la restauration complète du système ?
Merci.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS