Smitfraud ? - impossible changer fond d'écran Fermé

Question

Bonjour, j'ai chopé un trojan hier. Je suis sous Win XP et je me suis retrouvé avec comme fond d'écran (impossible de le changer, l'onglet dans Propriétés n'existe même plus...) :WARNINGYour computer might be infected with spyware or adware![...]CLICK HERE --> lien renvoyant sur http://psguard.comJ'ai fais qqs recherches et il semble que le trojan en question est smitfraud ?J'ai essayé de passer le logiciel de nettoyage Cclean, de supprimer tous les fichiers des répertoires habituellement conseillés (windows	emp, windows\prefetch, etc), mais ça n'a rien changé.J'ai fait un high jack this, voici le log :Logfile of HijackThis v1.99.1Scan saved at 19:58:34, on 21/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\Avast4\ashDisp.exeC:\Program Files\Java\jre1.5.0_04\bin\jusched.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Avast4\aswUpdSv.exeC:\Program Files\Avast4\ashServ.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\Avast4\ashWebSv.exeC:\Program Files\Avast4\ashMaiSv.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wuauclt.exeC:\Pej-Docs\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUNO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exeO4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dllO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeJe remercie d'avance les personnes qui pourraient m'aider pour me débarrasser de ce problème.

balltrap34 · Answer

saluttelecharge cecihttp://siri.urz.free.fr/Fix/SmitfraudFix.ziptu le decompresse tu double clik dessus et tu choisi l option 1cela vas generer un rapport donne nous ledemarre en mode sans echec et relance le et choisi cette fois l option 2 et repond oui a tousredemarre et donne le nouveau rapportredemarre et refait un hijackcompleter a la fin par hijack

pej · Answer

Merci.Voici le rapport de l'option 1 :SmitFraudFix v1.0Rapport fait à 20:31:05,07 le 21/07/2005Executé à partir de C:\Pej-DocsOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWSC:\WINDOWS\uninstIU.exe PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Jean-Philippe\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

balltrap34 · Answer

fait le 2 en sans echec

pej · Answer

ça y est c'est fait, je l'ai fait en mode sans échec session administrateur, mais en mode normal je ne trouve plus le rapport.dans le rapport je me souviens que ça marquait que C:\WINDOWS\uninstIU.exe a bien été supprimé.Qd j'ai redémarré c'était toujours sur l'ancien fond d'écran.J'ai pu changer le fond d'écran et ça a l'air de rester comme ça.Par contre, j'ai toujours l'icône "point d'exclamation roug" dans la barre des tâches en bas à droite, qui dit "your computer is infected" et qui qd on clic dessus renvoie sur le site PSGuard.Voici le hi jack this maintenant :Logfile of HijackThis v1.99.1Scan saved at 20:44:45, on 21/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Avast4\ashDisp.exeC:\Program Files\Java\jre1.5.0_04\bin\jusched.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Avast4\aswUpdSv.exeC:\Program Files\Avast4\ashServ.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\Avast4\ashWebSv.exeC:\Program Files\Avast4\ashMaiSv.exeC:\WINDOWS\System32\intell32.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Crazy Browser\Crazy Browser.exeC:\Pej-Docs\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUNO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exeO4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dllO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

pej · Answer

c'est bon je pense avoir trouvé en regardant dans msconfig quelle était la tâche qui se lançait, il s'agissait de Intell32.exe contenu dans le répertoire C:/Windows/System32, je l'ai supprimé en mode sans échec et là ça a l'air de ne pas réapparaître.Est ce que vous croyez que c'est bon ou y a t'il d'autres précautions à prendre ?En tout cas, merci bcp pour l'aide.

Utilisateur anonyme · Answer

salutlance hijackthis, coche et fixe :O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe et ca devrait etre bona+

balltrap34 · Answer

salut moe je c est pas si c est a toi ou a sr que j avais mis une liste certainement arajouter a u fixintell32.exe dedans

Utilisateur anonyme · Answer

c'est fais, je lui ai envoyé un mail pour intell32il dois ou à déjà rajouterC:\Windows\System32\gunist.exeC:\Windows\system32\param32.dllC:\Windows\system32\pop_up.dllC:\Windows\System32\searchdll.dllC:\Windows\System32\svchosts.dlleditdejà fais pour les 5 derniers

balltrap34 · Answer

tu a jeter un oeil sur la liste

Utilisateur anonyme · Answer

laquelle ?tu as le lien ?

balltrap34 · Answer

c est pas a toi ou je l avais mis sur un postj en est trouver une flopper pas forcement tous en rela tion avec mais il me parle sur plusieur post smitfrauddont bien sur intel32.dllje te la donneC:\WINDOWS\System32\confng32.exeC:\Documents and Settings\Papa\Application Data\Explorer\confng32.exeC:\Documents and Settings\Maman\Application Data\Explorer\confng32.exeC:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe  C:\WINDOWS\SYSTEM\Loader.dll C:\WINDOWS\System32\confng32.exe combop.exe  combo.exe  C:\WINDOWS\System32\intell32.exe C:\Program Files\SpyKiller<==le dossier c:\windows\bqjliug.exe C:\Program Files\mctt\oeur.exe  C:\WINDOWS\System32	?skmgr.exe c:\windows\qxtpydp.exe c:\windows\mbathbe.exe c:\windows\jekipnv.exe C:\WINDOWS\System32\kdbi.dll c:\windows\wmnmntm.exe c:\windows\bxvpxwx.exe C:\Documents and Settings\Papa\Menu Démarrer\Programmes\Démarrage\winupdate79044757[1].exe C:\WINDOWS\System32\comdeset.dll

Utilisateur anonyme · Answer

okca ressemble à cette variante:http://www.webhelper4u.com/CWS/Research/screenimages/searchterrordesktop.htmlla plus pourrie de toute.Rien à voir avec smitfraud, mais il y a un trojan qui utilise le meme principe, mais au lieu d'infecté wininet il infecte carrement explorer.exe en utilisant la meme methode, signé cws.http://www.webhelper4u.com/CWS/softexeadmin2cash.htmlpas vu encore mais ca devrait arriver....

balltrap34 · Answer

avec celle la j est eu du malje t est parler de smitfraud car tu disait que tu as envoyer mail pour intel

S!Ri · Answer

Salut,Je suis en train de mettre a jour le fix.Ces fichiers seront dans la v1.1C:\WINDOWS\system\svchost.exeC:\WINDOWS\System32\intell32.exeC:\WINDOWS\System32\kernels32.exeC:\WINDOWS\System32\vxgame?.exe	C:\WINDOWS\System32\vxgamet?.exeC:\Program Files\SpyKiller\ <-- Dossierhttp://www.spywarewarrior.com/rogue_anti-spyware.htmPour les autres, il faudra y aller à la main. Ce sont des fichiers avec des noms aléatoires.On voit ici:http://research.sunbelt-software.com/threat_display.cfm?name=Trojan.vxgame&threatid=39597que les vxgame??.exe désactivent le firewall de windowstout comme C:\WINDOWS\system\svchost.exeO4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s Je n'ai pas intégré la réactivation du firewall dans le registre (certaines personnes utilisent un autre firewall que celui du SP2).Cette fausse version de svchost.exe semble aussi désactiver les notifications du SP2 Firewall/Antivirus. Je creuse cette piste avant d'integrer ou non dans le registre.Merci à vous 2a++

Utilisateur anonyme · Answer

salut siripour la v1.1 il manque  intell32.exe dans la partie recherche.beau boulota+

S!Ri · Answer

salutMerci beaucoup. Tu as l'oeil ;-)C'est corrigé et en ligne.Tu as remarqué ici :http://www.commentcamarche.net/forum/affich-1683783-Probl%E8me-de-virus-Antivirus-Gold#4L'infection Wininet.dll semble être différente.Le fix ne trouve pas la référence oleadm, mais  Norton trouve quelque chose.J'ai déja vu ca dans un autre post avec un autre antivirus...a+

Utilisateur anonyme · Answer

salut sirioui j'ai vu pour wininet, faudrait voir si norton était à jour, car il me semble que les alertes bloodhound correspondent à l'analyse heuristique de norton.Peut etre qu'une maj de norton règlerait le probleme.à vérifier quand meme.a+

S!Ri · Answer

re'Il est vrais que les alertes bloodhound correspondent à une possible infection. Mais un autre antivirus (je ne retrouve plus le post) signalait aussi un problème.Peut être une tentative de modification...a+

Smitfraud ? - impossible changer fond d'écran

18 réponses

Discussions similaires