smitfraud Fermé

Question

Bonjour, je sais qu'il y a déjà un forum sur smitfraud et je l'ai consulté. Seulement en le consultant j'ai remarqué qu'il était question d'un certain fichier "intell32.exe". Je suis allé voir dans system 32 et je l'ai supprimé en mode sans échec et maintenant plus de problème dans la barre des tâches le point d'exclamation rouge a disparu. Mais :
- Le fond d'écran est le même
- Même si certain onglets sont réapparus dans "affichage" l'onglet pour le fond d'écran n'y est pas
- ma page d'acceuil internet est about:blank et quand je la change après fermeture cela redevient about:blank

Merci d'avance

Configuration : adhlon (enfin je crois) 1,3Ghz ; système d'exploitation : windows XP

Utilisateur anonyme · Answer

Bonjour * Télécharge SmitfraudFix de S!Ri:http://siri.urz.free.fr/Fix/SmitfraudFix.zipTu le dézippes sur le Bureau. * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1 Postes le rapport. * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.Démarres l'ordinateur.Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée. * Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout. * Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un rapport HijackThis v1.99.1http://www.merijn.org/files/hijackthis.zipTutorialhttp://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htmDémo en image ici: http://pageperso.aol.fr/balltrap34/demohijack.htm

PurpleStorm · Answer

http://www.commentcamarche.net/forum/affich-1783543-Virus-et-malwares-le-truc-pour-les-%E9liminer

Pierre · Answer

voici le 1° rapport smitfraudfix choix 1

SmitFraudFix v1.84

Rapport fait à 17:48:32,38 le 07/09/2005
Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Pierre\Application Data

C:\Documents and Settings\Pierre\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Pierre\Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Pierre · Answer

voila le smitfraudfix choix 2 et le hijackthis mais je les envoi plus pour le fun et si ça peut en aider d'autre car mon fon décran est normal maintenant (par contre toujours ce problème de page de démarrage alors si vous voyez ça dans le rapport ...)SmitFraudFix v1.84Rapport fait à 17:52:51,60 le 07/09/2005Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésC:\WINDOWS\uninstIU.exe suppriméC:\WINDOWS\system32\oleext.dll suppriméC:\WINDOWS\system32\vxh8jkdq?.exe suppriméC:\WINDOWS\system32\wppp.html suppriméC:\Documents and Settings\Pierre\Application Data\Install.dat supprimé »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportLogfile of HijackThis v1.99.1Scan saved at 17:59:04, on 07/09/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\atiptaxx.exeC:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\WINDOWS\ipan32.exeC:\WINDOWS\appqr32.exeC:\Program Files\Skype\Phone\Skype.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGRA~1\WinZip\winzip32.exeC:\DOCUME~1\Pierre\LOCALS~1\Temp\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:21;gopher=192.168.0.1;http=192.168.0.1:6588;https=192.168.0.1:6588;socks=192.168.0.1:1080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: Class - {51482193-6763-C430-0541-232D3E7FCBA8} - C:\WINDOWS\winea32.dllO2 - BHO: Class - {7A94F8C4-588B-902A-6FE2-0DC00939927E} - C:\WINDOWS\system32
etaw.dllO2 - BHO: Class - {9E51B05C-3A1D-6175-2F9B-368F3DF431A5} - C:\WINDOWS\system32\mfcjv.dll (file missing)O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: Class - {FC8C680D-3BA3-EB60-7B52-26ED982E0CFE} - C:\WINDOWS\msbg32.dll (file missing)O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dllO4 - HKLM\..\Run: [AtiPTA] atiptaxx.exeO4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXEO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pauseO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [ipan32.exe] C:\WINDOWS\ipan32.exeO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exeO8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htmO8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?b2f599f9eedb4d108aba597da82d69f1O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?b2f599f9eedb4d108aba597da82d69f1O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124286756608O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exeO23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appqr32.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeMerci pour vos conseils et bonne continuation dans l'informatique !!!!

Utilisateur anonyme · Answer

ReTu es encore bien infecté, ce qui explique tes dysfonctionnements.1 Télécharge CCleaner.http://www.filehippo.com/download_ccleaner.htmlInstalle le dans un répertoire dédié.About Busterhttp://www.malwarebytes.biz/index.php?page=downloadsUne fois téléchargé,tu le dézippe,et tu mets un raccourci sur le bureau.Ewido http://www.ewido.net/fr/download/Tu l'installes et tu le mets à jour.SpHjfixhttp://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix Installer dans un répertoire dédié et placer un raccourci sur le bureau  2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.Dans la liste des services, cherche et sélectionne "Network Security Service" / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de "C:\WINDOWS\appqr32.exe" / dans Type de démarrage, sélectionne Désactiver / valide la modification.3 Lancer SpHjfix.cliquer sur le bouton "start disinfection"en cas d'infection sp.exe, l'ordinateur est redémarré4 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.5 Relance un scan HijackThis et coche les lignes ci-dessous :R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001 R3 - Default URLSearchHook is missing O2 - BHO: Class - {51482193-6763-C430-0541-232D3E7FCBA8} - C:\WINDOWS\winea32.dll O2 - BHO: Class - {7A94F8C4-588B-902A-6FE2-0DC00939927E} - C:\WINDOWS\system32
etaw.dll O2 - BHO: Class - {9E51B05C-3A1D-6175-2F9B-368F3DF431A5} - C:\WINDOWS\system32\mfcjv.dll (file missing) O2 - BHO: Class - {FC8C680D-3BA3-EB60-7B52-26ED982E0CFE} - C:\WINDOWS\msbg32.dll (file missing) O4 - HKLM\..\Run: [ipan32.exe] C:\WINDOWS\ipan32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appqr32.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »6 Assure toi d'avoir accés à tous les fichiers.Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :Activer la case : Afficher les fichiers et dossiers cachésDésactiver la case : Masquer les extensions des fichiers dont le type est connuDésactiver la case : Masquer les fichiers protégés du système d'exploitationPuis Appliquer7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :C:\WINDOWS\system32\cghva.dllC:\WINDOWS\system32
etaw.dll C:\WINDOWS\system32\mfcjv.dll C:\WINDOWS\appqr32.exeC:\WINDOWS\ipan32.exe C:\WINDOWS\winea32.dll C:\WINDOWS\msbg32.dll 8 Double clique sur About:BusterClique sur Begin RemovalUn scan est exécuté.Refaire un second scan. Poste le rapport ici.9 Lance Ewido.Fais un scan en mode complet.Sauvegardes le rapport.10 Lance et exécute CCleanerRecache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.11 Redémarre normalementPoste un nouveau log HijackThis avec les rapports d'Ewido, de SpHjfix et d'About:Buster.

Utilisateur anonyme · Answer

salut chercheurun conseil: about buster il faut le passer autant de fois qu il trouve qqchose (5/10/15 fois si necessaire)a+

Smitfraud

6 réponses

Discussions similaires

Newsletters