[SMITFRAUD] Loggs hijackthis /demande d'aide

Alex -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour tout le monde, mon PC semble infecté par une sale bestiole, j'ai cherché sur les forums et ai compris qu'il fallait utiliser les utilitaires Hijackthis et le removal de Siri. Pas de probleme pour Hijack, le logg est collé ci dessous. Par contre pour l'utilistaire e Siri, je nen comprens pas, l'archive semblme corrompue, e n'arrive a extraire qu'un fichier sur les deux contenus dans l'archive. Si une âme charitable peut me filer un coup de main ilgagnera... ma reconnaissance eternelle (c'est deja pas mal non ;) ).

Voici le Log Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 13:48:31, on 08/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\eDonkey2000\edonkey2000.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantAudio\InstantAudio.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\ADWARE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinPerfectAutoRun] c:\yenicag\WinPerfect\WinPerfect.exe -boot
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\adware-pro\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Livecom] "C:\PROGRA~1\Livecom\Application\Exe\..\..\Launcher\Exe\SilentLauncher.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk.disabled
O4 - Global Startup: hpoddt01.exe.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\Wanadoo Messager\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\Wanadoo Messager\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0014-0002-0008-ABCDEFFEDCBA} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0AE47F0-FACE-466B-922B-AEDC47F5304C}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\DiskeeperLite\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Voila, merci d'avance aux helpers :)

10 réponses

  1. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    Désactive ton antivirus le temps de faire le ménage avec smitfraudfix.

    Le problème vient du fichier process.exe qui est considéré comme un utilitaire potenciellement dangeureux par certains antivirus car il permet de terminer des processus actifs.
    Voici l'analyse de process.exe par plusieurs antivirus.
    AntiVir  	Found SPR/Processor.20
    ArcaVir 	Found nothing
    Avast 	 	Found nothing
    AVG AntivirusFound nothing
    BitDefender 	Found nothing
    ClamAV 	Found nothing
    Dr.Web 	Found not a virus Tool.Prockill
    F-Prot Antivirus 	Found nothing
    Fortinet 	Found nothing
    Kaspersky Anti-Virus 	Found Not-a-virus:RiskTool.Win32.Processor.20
    NOD32 	Found nothing
    Norman Virus Control 	Found nothing
    UNA 	Found nothing
    VBA32 	Found nothing
    

    execute smitfraudfix.cmd
    selectionne l'option 1 et poste le rapport ici

    a+
    0
    1. kristin kreuk
       
      POurrais-tu répondre à mon message aussi? :)
      0
  2. Alex
     
    Merci Siri, effectivement Kaspersky m'empechait de dezipper correctement ton prog.

    Here's the logg:

    SmitFraudFix v1.5

    Rapport fait à 14:52:52,77 le 08/08/2005
    Executé à partir de C:\hijackthis\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\wp.bmp PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\alexis\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    D'avance merci :)
    0
  3. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Avec HijackThis, Coche et Fixe les entrées suivantes:

    O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
    O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} -
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
    O16 - DPF: {CAFEEFAC-0014-0002-0008-ABCDEFFEDCBA} -

    Lance SmitfraudFix.cmd, option 2
    Remet un nouveau fond d'ecran.

    a+
    0
    1. alex
       
      C'est fait.

      Comment dire...

      Attendez je crois que c'est ça:


      MERCIIIIIIII!

      :) :) :)

      Vraiment top ce que vous faites, bravo et merci :)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Alex
     
    Encore une petite chose, si j'ai bien pu remettre mon fond d'ecran, SpybotSD retrouve quand même Smitfraud lors d'un scan... Et plus embettant il ne peut pas le supprimer car il m'indique que certains processus sont actifs, il me conseille un reboot, ce que je fait mais le probleme reste le même...

    Normal? Un probleme avec SpybotSD? Un conseil?

    o_O ?
    0
  6. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Est ce que Spybot t'indique des clés du genre :

    ...
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.niger.ru]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xawm.biz]
    ...
    0
  7. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Je dois bouger.
    Quel est le nom du fichier trouvé par Spybot S&D ?

    a+
    0
  8. Alex
     
    En effet, ce sont ces lignes...

    Et lors du scan il me signale un probleme avec un fichier a inclure.

    "Il y a eu des problemes avec le fichier a inclure E:\adaware-pro\spybot - Search_destroy\includes\hijackers.sbi

    Voir "include errors.log" pour plus de detail.

    Or je ne trouve pas ce fichier .log donc je peux pas t'en dire plus, je cherche encore...
    0
  9. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Ne t'inquiètes pas, ce sont des adresses qui sont ajoutées (certainement par SpywareBlaster) comme sites sensibles dans Internet Explorer pour éviter que Smitfraud.C ne télécharge d'autres malwares à ces adresses.

    Si tu veux les supprimer, lance SmitfraudFix.cmd, sélectionne l'option 3

    a+
    0
    1. alex
       
      Merci encore pour cette dernière clarification et well done.
      0
  10. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Content d'avoir pu t'aider
    a+
    0