[trojan smitfrau]

Phil69 Messages postés 21 Statut Membre -  
 Utilisateur anonyme -
Bonjour et d'avance merci pour l'aide,

Comme beaucoup j'ai attrapé Trojan Smitfraud.
Je joins mon log Hijack, merci de m'indiquer la ou les procédures pour éradication de ce cheval...
Merci, Philippe
Configuration: ACER - 512MO
AMD ATHLON 64
XP Familial

Logfile of HijackThis v1.99.1
Scan saved at 17:18:06, on 15/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SelfBurn] C:\AcerSW\SelfBurn\SelfBurn.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

5 réponses

  1. Utilisateur anonyme
     
    salut

    telecharge smitfraudfix ici:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    dezippe le et lance le.
    choisis l'option 1 (rechercher)
    fais un copier/coller du résultat ici

    a+
    0
    1. Phil69 Messages postés 21 Statut Membre
       
      Hello moe31,

      Merci pour ton aide, voici le rapport

      SmitFraudFix v0.7

      Rapport fait à 22:13:01,56 le 15/07/2005
      Executé à partir de C:\Program Files\Fichiers communs\System\MAPI\1036\nt
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

      C:\WINDOWS\screen.html PRESENT !
      C:\WINDOWS\uninstIU.exe PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

      C:\WINDOWS\system32\hookdump.exe PRESENT !
      C:\WINDOWS\system32\intel32.exe PRESENT !
      C:\WINDOWS\system32\oleadm.dll PRESENT !
      C:\WINDOWS\system32\oleadm32.dll PRESENT !
      C:\WINDOWS\system32\wp.bmp PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

      C:\Program Files\AntivirusGold\ PRESENT !
      C:\Program Files\PSGuard\ PRESENT!

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
      0
  2. Rumbacampus Messages postés 1244 Statut Membre 184
     
    salut Phil69 et Moe

    Incroyable, une véritable épidémie, pire que la grippe...

    salut & à+
    0
  3. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Ca doit être la chaleur...
    Bon, j'arrête...

    @+
    0
  4. Utilisateur anonyme
     
    salut rumbacampus

    oui, et depuis un moment en plus.
    Il peut s'attraper de plusieurs facons d'apres ce que j'ai pu en lire, ou via une iframe il me semble ou ramené par d'autres infections (cws).
    Espérons que les av et antitrojans, meme s'ils détectent, répareront un peu mieux que ce qu'il se fait pour l'instant.

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut

    désinstalle XoftSpy, c'est un faux antispyware.

    Déconnecte toi d'internet:

    Vide le cache d'Internet Explorer et supprime les cookies:

    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
    O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe
    O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
    O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
    O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s

    valider avec [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    lance smitfraudfix et choisis l'option 2 et repond oui à tout

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    supprime :
    C:\Program Files\XoftSpy

    redemarre normallement et reposte un hijack

    et vérifie ceci:

    Démarrer > panneau de configuration > affichage
    clic sur l'onglet bureau
    clic sur personnalisation du bureau
    clic sur l'onglet Web
    supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
    une fois fait, ca doit etre comme sur cette image:
    http://get.yourfile.net/ie52977.gif

    Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

    a+
    0