smitfraud + pb de demarage explorer.exe :x :D

Question

salut a tous bon je vous presente le drame :p : je recoi des popup a nimporte kelle moment , g lecran bleu avec afficher a peu pres: 0028:c0011E36 in VXDVMM<0D+00010E36 Trojan-spy.HTML.Smitfraud.c !mais ce nest pas tout hehe je suis mtnant ds lobligation de passer par le mode sans echec pour pouvoir passer le cap de la page douverture :'( lol ! voici le charmant message ke jobtient kan jessaie douvir windows avec le mode normal : Explorer.exeLapplication na pas reussi a s ignitialiser correctement (0xc0000005) de plus c un ptit coriace ce message meme en faisant ctr+alt+supr impossible de passer :/ .bon pour cki est de lecran bleu vous fatiguez pas g suprimer les fichiers wp.bmp donc a + lecran bleu bonjour le panneau de config avec tout c onglets ^_^(par contre fichier wp.exe innexistant aparement o_O) . voici le rapport log de hijakthis.exe okel g enlever 2 popuper.exe :Logfile of HijackThis v1.99.1Scan saved at 03:14:07, on 10/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Xfire\Xfire.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Administrateur\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%sR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpe.dll/blank.htmR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%sR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%sR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%sR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htmR0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%sR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.qfind.net/search.php?qq=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.2.0.0R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: ICOOExternal Class - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - blank (file missing)O2 - BHO: (no name) - {1DA01813-ADF6-4145-9E1B-346A759DB7F3} - blank (file missing)O2 - BHO: ICOODManager Class - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - blank (file missing)O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - blank (file missing)O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exeO4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32
tnut32.exe homeO4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{08470~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{08470~1eboot.ini  -l0x40cO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silentO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exeO4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\CleanUp.exe /WindowsRestartO4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO16 - DPF: {074CC06E-1F35-2376-2C03-50114AB9A4DD} - http://216.118.71.185/1/gdnFR1865.exeO16 - DPF: {1ED72EAA-91BA-6251-E12D-7EC915778DA8} - http://216.118.71.185/1/rdgFR1828.exeO16 - DPF: {4073B583-680C-027F-FEB8-6C2230050C9A} - http://216.118.71.185/1/rdgFR1828.exeO16 - DPF: {4E48BC94-B877-43EC-8DE3-7E1E5DA1C3AD} - http://216.118.71.185/1/rdgFR1828.exeO16 - DPF: {53794744-7AEE-3F03-30B8-39AB24046C73} - http://216.118.71.185/1/rdgFR1865.exeO16 - DPF: {630F1900-F1BF-3919-AEA2-52677EFC481B} - http://216.118.71.185/1/rdgFR1828.exeO16 - DPF: {7391E600-6B0C-2A71-72B7-7FF4066D5A8C} - http://216.118.71.185/1/rdgFR1828.exeO16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604067.exeO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEmerci de bien vouloir me sauver de cette situation de crise :'( :D

jean38 · Answer

si tu as le temps d'attendre, je reviens dans 1/2 heure pour t'aider, ton log n'est pas net il y a du menage a faire.

en attendant, tu peux dejà faire une nettoyage de base:

A/ si tu ne les as pas, telecharge:

Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

puis sur
http://www.florensac-chasse-trap.com

pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge

CleanUp312.exe
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

execute cleanup312.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

redemarre et repost un log

jean

jean38 · Answer

de retour,voici la suite:lance hijack et fixe les lignes suivantes:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpe.dll/blank.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.qfind.net/search.php?qq=%s sauf si cette adresse te parle?R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.2.0.0 O2 - BHO: ICOOExternal Class - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - blank (file missing) O2 - BHO: (no name) - {1DA01813-ADF6-4145-9E1B-346A759DB7F3} - blank (file missing) O2 - BHO: ICOODManager Class - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - blank (file missing) O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - blank (file missing) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing) O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing) O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32
tnut32.exe home O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\CleanUp.exe /WindowsRestart O16 - DPF: {074CC06E-1F35-2376-2C03-50114AB9A4DD} - http://216.118.71.185/1/gdnFR1865.exe O16 - DPF: {1ED72EAA-91BA-6251-E12D-7EC915778DA8} - http://216.118.71.185/1/rdgFR1828.exe O16 - DPF: {4073B583-680C-027F-FEB8-6C2230050C9A} - http://216.118.71.185/1/rdgFR1828.exe O16 - DPF: {4E48BC94-B877-43EC-8DE3-7E1E5DA1C3AD} - http://216.118.71.185/1/rdgFR1828.exe O16 - DPF: {53794744-7AEE-3F03-30B8-39AB24046C73} - http://216.118.71.185/1/rdgFR1865.exe O16 - DPF: {630F1900-F1BF-3919-AEA2-52677EFC481B} - http://216.118.71.185/1/rdgFR1828.exe O16 - DPF: {7391E600-6B0C-2A71-72B7-7FF4066D5A8C} - http://216.118.71.185/1/rdgFR1828.exe O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604067.exe ensuite:en mode sans echec tu supprimes si presents:C:\WINDOWS\system32\msmsgs.exe << attention celui qui est dans system 32C:\WINDOWS\system32
tnut32.exe home fais un coup de cleanup et repost un logA+jean

HiG · Answer

yep gg a toi Jean thx pour les renseignement g resolu le probleme de ces saletes de virus mais je peut tjr pas rentree sur explorer en mode normal ya du avoir un fichier deplacer ou un fichier supprimer mais c pas grave en tout cas grand merci a toi au grand manitou de linformatique hehe :D ++

Smitfraud + pb de demarage explorer.exe :x :D

3 réponses

Discussions similaires

Newsletters