Sujet Précédent Sujet Suivant

[SMITFRAUD] Loggs hijackthis /demande d'aide

Fermé
Alex - 8 août 2005 à 13:54
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 - 8 août 2005 à 21:19
Bonjour tout le monde, mon PC semble infecté par une sale bestiole, j'ai cherché sur les forums et ai compris qu'il fallait utiliser les utilitaires Hijackthis et le removal de Siri. Pas de probleme pour Hijack, le logg est collé ci dessous. Par contre pour l'utilistaire e Siri, je nen comprens pas, l'archive semblme corrompue, e n'arrive a extraire qu'un fichier sur les deux contenus dans l'archive. Si une âme charitable peut me filer un coup de main ilgagnera... ma reconnaissance eternelle (c'est deja pas mal non ;) ).

Voici le Log Hijackthis.


Logfile of HijackThis v1.99.1
Scan saved at 13:48:31, on 08/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\eDonkey2000\edonkey2000.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantAudio\InstantAudio.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\ADWARE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinPerfectAutoRun] c:\yenicag\WinPerfect\WinPerfect.exe -boot
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\adware-pro\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Livecom] "C:\PROGRA~1\Livecom\Application\Exe\..\..\Launcher\Exe\SilentLauncher.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk.disabled
O4 - Global Startup: hpoddt01.exe.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\Wanadoo Messager\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\Wanadoo Messager\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0014-0002-0008-ABCDEFFEDCBA} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0AE47F0-FACE-466B-922B-AEDC47F5304C}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\DiskeeperLite\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Voila, merci d'avance aux helpers :)
A voir également:

10 réponses

Réponse 1 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 14:19
Salut,

Désactive ton antivirus le temps de faire le ménage avec smitfraudfix.

Le problème vient du fichier process.exe qui est considéré comme un utilitaire potenciellement dangeureux par certains antivirus car il permet de terminer des processus actifs.
Voici l'analyse de process.exe par plusieurs antivirus. 
AntiVir  	Found SPR/Processor.20
ArcaVir 	Found nothing
Avast 	 	Found nothing
AVG AntivirusFound nothing
BitDefender 	Found nothing
ClamAV 	Found nothing
Dr.Web 	Found not a virus Tool.Prockill
F-Prot Antivirus 	Found nothing
Fortinet 	Found nothing
Kaspersky Anti-Virus 	Found Not-a-virus:RiskTool.Win32.Processor.20
NOD32 	Found nothing
Norman Virus Control 	Found nothing
UNA 	Found nothing
VBA32 	Found nothing

execute smitfraudfix.cmd
selectionne l'option 1 et poste le rapport ici

a+
0
kristin kreuk
8 août 2005 à 14:23
POurrais-tu répondre à mon message aussi? :)
0
Réponse 2 / 10
Alex
8 août 2005 à 14:57
Merci Siri, effectivement Kaspersky m'empechait de dezipper correctement ton prog.

Here's the logg:

SmitFraudFix v1.5

Rapport fait à 14:52:52,77 le 08/08/2005
Executé à partir de C:\hijackthis\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\alexis\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



D'avance merci :)
0
Réponse 3 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 15:03
re'

Avec HijackThis, Coche et Fixe les entrées suivantes:

O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0014-0002-0008-ABCDEFFEDCBA} -

Lance SmitfraudFix.cmd, option 2
Remet un nouveau fond d'ecran.

a+
0
alex
8 août 2005 à 15:10
C'est fait.

Comment dire...

Attendez je crois que c'est ça:


MERCIIIIIIII!

:) :) :)

Vraiment top ce que vous faites, bravo et merci :)
0
Réponse 4 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 15:17
:-)

n'oublie pas de reactiver ton antivirus...

Installe un Firewall:
http://www.inoculer.com/firewall5.php3
Sygate, kerio, zone alarm...

Et un peu de lecture:
http://sebsauvage.net/safehex.html

a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Alex
8 août 2005 à 15:56
Encore une petite chose, si j'ai bien pu remettre mon fond d'ecran, SpybotSD retrouve quand même Smitfraud lors d'un scan... Et plus embettant il ne peut pas le supprimer car il m'indique que certains processus sont actifs, il me conseille un reboot, ce que je fait mais le probleme reste le même...

Normal? Un probleme avec SpybotSD? Un conseil?

o_O ?
0
Réponse 6 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 16:01
Est ce que Spybot t'indique des clés du genre :

...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.niger.ru]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xawm.biz]
...
0
Réponse 7 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 16:12
re'

Je dois bouger.
Quel est le nom du fichier trouvé par Spybot S&D ?

a+
0
Réponse 8 / 10
Alex
8 août 2005 à 16:49
En effet, ce sont ces lignes...

Et lors du scan il me signale un probleme avec un fichier a inclure.

"Il y a eu des problemes avec le fichier a inclure E:\adaware-pro\spybot - Search_destroy\includes\hijackers.sbi

Voir "include errors.log" pour plus de detail.

Or je ne trouve pas ce fichier .log donc je peux pas t'en dire plus, je cherche encore...
0
Réponse 9 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 19:25
re'

Ne t'inquiètes pas, ce sont des adresses qui sont ajoutées (certainement par SpywareBlaster) comme sites sensibles dans Internet Explorer pour éviter que Smitfraud.C ne télécharge d'autres malwares à ces adresses.

Si tu veux les supprimer, lance SmitfraudFix.cmd, sélectionne l'option 3

a+
0
alex
8 août 2005 à 21:16
Merci encore pour cette dernière clarification et well done.
0
Réponse 10 / 10
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
8 août 2005 à 21:19
Content d'avoir pu t'aider
a+
0

Discussions similaires

Hijackthis pour Android mobile
Sartuplady -
le druide -

3 réponses
Analyse en ligne du log Hijackthis
tufs -
tufs -

2 réponses
Smitfraud-C
Lasto97 -
Lasto97 -

25 réponses
Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
[virus&spyware] infecté par smitfraud-c
Marc -
hamidpi29 -

32 réponses