XPpolice Fermé

Question

Bonjour, Je suis curieux de savoir ce que je fait avec le rapport
SmitFraudFix v2.398

Rapport fait à 13:01:37,95, 2009-02-22
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]
@="C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wndutl32.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]
@="C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wndutl32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1	hityou.com
127.0.0.1	www.hityou.com
127.0.0.1	180searchassistant.com
127.0.0.1	www.180searchassistant.com
127.0.0.1	180solutions.com
127.0.0.1	www.180solutions.com
127.0.0.1	bis.180solutions.com
127.0.0.1	config.180solutions.com
127.0.0.1	cts.180solutions.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\iehost.dll supprimé
C:\Program Files\XPPoliceAntivirus\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 205.236.148.130
DNS Server Search Order: 205.236.148.131

HKLM\SYSTEM\CCS\Services\Tcpip\..\{24B1C867-7F1B-45BD-953C-9ADA656409C5}: DhcpNameServer=205.236.148.130 205.236.148.131
HKLM\SYSTEM\CS1\Services\Tcpip\..\{24B1C867-7F1B-45BD-953C-9ADA656409C5}: DhcpNameServer=205.236.148.130 205.236.148.131
HKLM\SYSTEM\CS3\Services\Tcpip\..\{24B1C867-7F1B-45BD-953C-9ADA656409C5}: DhcpNameServer=205.236.148.130 205.236.148.131
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=205.236.148.130 205.236.148.131
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=205.236.148.130 205.236.148.131
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=205.236.148.130 205.236.148.131


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]
@="C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wndutl32.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]
@="C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wndutl32.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

plopus · Answer

Bonsoir,

Option 2 - Nettoyage :


      Redémarrer l'ordinateur en mode sans échec Comment redémarrer en mode sans échec ??
    * Double cliquer sur smitfraudfix
    * Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
    * A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
    * Enregistre le rapport sur ton bureau
    * Redémarrer en mode normal et poster le rapport.

plopus · Answer

bonsoir,

jsuis un peu bete tu avais deja fait l'option 2... ce genre d'infection en cache souvent d'autre donc pour voir

    * Télécharge hijackthis   https://www.androidworld.fr/

    * Tout est expliqué pour bien l installer et savoir l'utiliser.



Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

plopus · Answer

bonsoir,

donc en effet tout cela cache une belle panoplie de virus ton PC est trés infecté 

DESACTIVE toutes defence antivirus antispyware et parefeu

et telecharge sur ton BUREAU combofix	http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

deconnecte toi d'internet et ferme tout tes programme et lance le et ne touche + a rien et poste le rapport ensuite

plopus · Answer

as tu lu le poste 5 ce n'est pas sa combofix

pimprenelle27 · Answer

Pour info : 

Présence de malware et Backdoor il faut passer malware :

Telecharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

plopus · Answer

bonjour ici

heu...pimprenelle

merci de vouloir avancer un peu parcontre ne propose pas d'autre chose avant d'avoir recu le rapport que je demandé

vu le nombre d'infection qu'il a je garde malwarebyte pour après voir pour la fin

si tu veux laisser des remarques ou des conseils pourqu'oi pas, parcontre ce que je ne ferait jamais ni a toi ni a personne d'autres c'est poster des instructions comme sa sans rien dire alors que je ne meme pas recu ce que je demandai...

merci

pimprenelle27 · Answer

"par contre ce que je ne ferait jamais ni a toi ni a personne d'autres c'est poster des instructions comme sa sans rien dire " je n'ai pas poster les instructions sans rien dire car j'ai signalé la présence de malware et backdoor, donc il faut passer malware. Tout simplement c'était juste pour information. après tu fait ce que tu en veux.

plopus · Answer

pour tack :

en attente du rapport combofix (voir poste 5)

+ 1 nouveau log hijackthis stp

XPpolice

8 réponses

Newsletters