problème avec W32.Sinnaka.A@mm
Forum Sécurité - Virus : problème avec W32.Sinnaka.A@mm
Bonjour j'ai un souci avec ce virus (spy) qui squatte ma page de démarrage et me harcèle de popups. J'ai bien noté que ce problème a été réglé sur le site le 20 septembre dernier et est donc essayer de le corriger moi même en m'aidant des cas précédents. MAlheureusement je n'y arrive pas, la ligne que je pense devoir supprimer reviens tout le temps. Désolé de vous embêtez avec des problèmes pas trè sintéréssants mais si quelq'un veut bien me filez un coup de main bah ça serait bien chouette.
Merci d'avance.
Voici mon log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 10:33:34, on 07/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\System32\nvsvc32.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\Explorer.EXE
C:\WINDOWS2\popuper.exe
C:\WINDOWS2\System32\shnlog.exe
C:\WINDOWS2\System32\msole32.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS2\System32\GSICON.EXE
C:\WINDOWS2\System32\dslagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS2\System32\intmonp.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS2\System32\devldr32.exe
C:\WINDOWS2\System32\intmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
\?\C:\WINDOWS2\system32\WBEM\WMIADAP.EXE
C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Bureau\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://renewalcenter.symantec.com/ [...] ersion=100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS2\System32\hpA1C1.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [d3dz.exe] C:\WINDOWS\d3dz.exe
O4 - HKLM\..\Run: [sdkmm32.exe] C:\WINDOWS\sdkmm32.exe
O4 - HKLM\..\Run: [BootWarn] C:\Program Files\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS2\System32\msmsgs.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra 'Tools' menuitem: Launch Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44C7FBA2-3045-4A10-8718-4EC3F7169AE6}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS2\System32\wdfmgr.exe (file missing)
je sais déjà que je dois supprimer ces lignes :
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS2\System32\hpA1C1.tmp
O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
mais la ligne 02 reviens tout le temps. Je n'ai pas trouvé de solutions sur les autres topics alors si il y a une âme charitable qui peut me donner un chtiot coup de main, je lui serai franchement redevable...
Salut,
0/ Télécharges SmitfraudFix.zip
Fais l'option 1, récupères le rapport que tu nous posteras. Puis redémarres en mode sans échec
1/ Redémarres en mode sans échec
2/ Coches ces lignes et appuyes sur Fix Checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS2\System32\hpA1C1.tmp
O4 - HKLM\..\Run: [d3dz.exe] C:\WINDOWS\d3dz.exe
O4 - HKLM\..\Run: [sdkmm32.exe] C:\WINDOWS\sdkmm32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS2\System32\msmsgs.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
3/ Affiches tous les fichiers
Outils / Options des dossiers / Affichage
coches "afficher les fichiers cachés"
décoches "masquer les extensions des types connus"
décoches "masquer les fichiers protégés du système d'exploitation"
4/ Supprimes ces programmes :
Panneau de configuration / Ajout/Suppression de programmes
Trouves et supprimes les programmes suivants :
PS Guard
5/ Supprimes ces fichiers :
C:\WINDOWS2\System32\hpA1C1.tmp
C:\WINDOWS\d3dz.exe
C:\WINDOWS\sdkmm32.exe
C:\WINDOWS2\System32\msmsgs.exe (celui dans system32 hein...)
C:\Program Files\P.S.Guard\ (suppr. ce dossier)
6/ Relances SmitfraudFix.cmd
Cette fois-ci, choisi l'option 2, et réponds oui à chaque question.
Postes nous le rapport avec le premier.
7/ Redémarres normalement
8/ Passes un coup de CCleaner et de Kaspersky
CCleaner
Kaspersky
9/ Repostes un log (pas en mode sans échec le log !!) ici en nous disant ceux que t'as pas pu supprimer (au cas ou y'en a certains !)
Donc pour mémoire, tu nous postes :
- ton rapport Smitfraudfix 1
- ton rapport SmitfraudFix 2
- ton nouveau log HijackThis
Ok je te remercie mille fois pour ton aide et ta patience a te coltiner des milliards de cas comme moi chaque jour.
A priori grâce à tes directives le problème est résolu!!
Je tê poste quand même au cas où mes rapports smitfraud :
voici le 1er :
SmitFraudFix v1.86
Rapport fait à 16:28:37,02 le 07/10/2005
Executé à partir de C:\fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS2
C:\WINDOWS2\popuper.exe PRESENT !
C:\WINDOWS2\sites.ini PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS2\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS2\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS2\system32
C:\WINDOWS2\system32\hhk.dll PRESENT !
C:\WINDOWS2\system32\hp????.tmp PRESENT !
C:\WINDOWS2\system32\intmon.exe PRESENT !
C:\WINDOWS2\system32\intmonp.exe PRESENT !
C:\WINDOWS2\system32\msole32.exe PRESENT !
C:\WINDOWS2\system32\ole32vbs.exe PRESENT !
C:\WINDOWS2\system32\oleext.dll PRESENT !
C:\WINDOWS2\system32\shnlog.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS2\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Bureau
C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Application Data\PSGuard.com PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
C:\WINDOWS2\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est A812-48F3
R‚pertoire de C:\WINDOWS2\$NtServicePackUninstall$
28/08/2001 14:00 598ÿ016 wininet.dll
1 fichier(s) 598ÿ016 octets
R‚pertoire de C:\WINDOWS2\ServicePackFiles\i386
Puis le second :
SmitFraudFix v1.86
Rapport fait à 16:40:55,59 le 07/10/2005
Executé à partir de C:\fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS2\popuper.exe supprimé
C:\WINDOWS2\sites.ini supprimé
C:\WINDOWS2\system32\hhk.dll supprimé
C:\WINDOWS2\system32\hp????.tmp supprimé
C:\WINDOWS2\system32\intmon.exe supprimé
C:\WINDOWS2\system32\intmonp.exe supprimé
C:\WINDOWS2\system32\msole32.exe supprimé
C:\WINDOWS2\system32\ole32vbs.exe supprimé
Problème suppression C:\WINDOWS2\system32\oleext.dll
C:\WINDOWS2\system32\shnlog.exe supprimé
C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Application Data\PSGuard.com\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll
C:\WINDOWS2\system32\wininet.dll infecté !
Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est A812-48F3
R‚pertoire de C:\WINDOWS2\$NtServicePackUninstall$
28/08/2001 14:00 598ÿ016 wininet.dll
1 fichier(s) 598ÿ016 octets
R‚pertoire de C:\WINDOWS2\ServicePackFiles\i386
29/08/2002 20:45 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS2\system32
28/08/2001 14:00 598ÿ016 wininet.dll
1 fichier(s) 598ÿ016 octets
et enfin mon nouveau log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16:58:10, on 07/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\System32\nvsvc32.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS2\System32\GSICON.EXE
C:\WINDOWS2\System32\dslagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS2\System32\devldr32.exe
C:\WINDOWS2\Explorer.EXE
C:\Documents and Settings\E.D.LES-QFG0RSNGVDC\Bureau\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://renewalcenter.symantec.com/ [...] ersion=100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BootWarn] C:\Program Files\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - C:\WINDOWS2\System32\shdocvw.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra 'Tools' menuitem: Launch Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\Copernic.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS2\System32\wdfmgr.exe (file missing)
Encore un grand grand merci à toi
En espérant pouvoir te rendre la pareille dans d'autres domaines...
| Citation : A priori grâce à tes directives le problème est résolu!! |
Ben d'après ce que je vois, ton log est clean ;-)
| Citation : Encore un grand grand merci à toi
|
pas de problème !
:-)
Il y a 296 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
