Smitfraud

Pierre -  
 Utilisateur anonyme -
Bonjour, je sais qu'il y a déjà un forum sur smitfraud et je l'ai consulté. Seulement en le consultant j'ai remarqué qu'il était question d'un certain fichier "intell32.exe". Je suis allé voir dans system 32 et je l'ai supprimé en mode sans échec et maintenant plus de problème dans la barre des tâches le point d'exclamation rouge a disparu. Mais :
- Le fond d'écran est le même
- Même si certain onglets sont réapparus dans "affichage" l'onglet pour le fond d'écran n'y est pas
- ma page d'acceuil internet est about:blank et quand je la change après fermeture cela redevient about:blank

Merci d'avance

Configuration : adhlon (enfin je crois) 1,3Ghz ; système d'exploitation : windows XP

6 réponses

  1. Utilisateur anonyme
     
    Bonjour

    * Télécharge SmitfraudFix de S!Ri:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Tu le dézippes sur le Bureau.

    * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
    Postes le rapport.

    * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
    Démarres l'ordinateur.
    Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
    En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

    * Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

    * Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un rapport HijackThis v1.99.1
    http://www.merijn.org/files/hijackthis.zip
    Tutorial
    http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
    Démo en image ici:
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. Pierre
     
    voici le 1° rapport smitfraudfix choix 1

    SmitFraudFix v1.84

    Rapport fait à 17:48:32,38 le 07/09/2005
    Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    C:\WINDOWS\uninstIU.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\oleext.dll PRESENT !
    C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !
    C:\WINDOWS\system32\wppp.html PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Pierre\Application Data

    C:\Documents and Settings\Pierre\Application Data\Install.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Pierre\Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

    HKLM\SOFTWARE\SHUDDERLTD non trouvé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  3. Pierre
     
    voila le smitfraudfix choix 2 et le hijackthis mais je les envoi plus pour le fun et si ça peut en aider d'autre car mon fon décran est normal maintenant (par contre toujours ce problème de page de démarrage alors si vous voyez ça dans le rapport ...)

    SmitFraudFix v1.84

    Rapport fait à 17:52:51,60 le 07/09/2005
    Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\uninstIU.exe supprimé
    C:\WINDOWS\system32\oleext.dll supprimé
    C:\WINDOWS\system32\vxh8jkdq?.exe supprimé
    C:\WINDOWS\system32\wppp.html supprimé
    C:\Documents and Settings\Pierre\Application Data\Install.dat supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Logfile of HijackThis v1.99.1
    Scan saved at 17:59:04, on 07/09/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\atiptaxx.exe
    C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\WINDOWS\ipan32.exe
    C:\WINDOWS\appqr32.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\WinZip\winzip32.exe
    C:\DOCUME~1\Pierre\LOCALS~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:21;gopher=192.168.0.1;http=192.168.0.1:6588;https=192.168.0.1:6588;socks=192.168.0.1:1080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {51482193-6763-C430-0541-232D3E7FCBA8} - C:\WINDOWS\winea32.dll
    O2 - BHO: Class - {7A94F8C4-588B-902A-6FE2-0DC00939927E} - C:\WINDOWS\system32\netaw.dll
    O2 - BHO: Class - {9E51B05C-3A1D-6175-2F9B-368F3DF431A5} - C:\WINDOWS\system32\mfcjv.dll (file missing)
    O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: Class - {FC8C680D-3BA3-EB60-7B52-26ED982E0CFE} - C:\WINDOWS\msbg32.dll (file missing)
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ipan32.exe] C:\WINDOWS\ipan32.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe
    O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?b2f599f9eedb4d108aba597da82d69f1
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?b2f599f9eedb4d108aba597da82d69f1
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124286756608
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe
    O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appqr32.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

    Merci pour vos conseils et bonne continuation dans l'informatique !!!!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Re

    Tu es encore bien infecté, ce qui explique tes dysfonctionnements.

    1 Télécharge
    CCleaner.

    http://www.filehippo.com/download_ccleaner.html
    Installe le dans un répertoire dédié.

    About Buster
    http://www.malwarebytes.biz/index.php?page=downloads
    Une fois téléchargé,tu le dézippe,et tu mets un raccourci sur le bureau.

    Ewido
    http://www.ewido.net/fr/download/
    Tu l'installes et tu le mets à jour.

    SpHjfix
    http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
    Installer dans un répertoire dédié et placer un raccourci sur le bureau

    2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
    Dans la liste des services, cherche et sélectionne
    "Network Security Service" / double clique sur la ligne
    / vérifie dans Chemin d'accès des fichiers exécutables qu'il
    s'agit bien de "C:\WINDOWS\appqr32.exe" / dans Type de démarrage,
    sélectionne Désactiver / valide la modification.

    3 Lancer SpHjfix.
    cliquer sur le bouton "start disinfection"
    en cas d'infection sp.exe, l'ordinateur est redémarré

    4 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

    5 Relance un scan HijackThis et coche les lignes ci-dessous :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cghva.dll/sp.html#10001
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {51482193-6763-C430-0541-232D3E7FCBA8} - C:\WINDOWS\winea32.dll
    O2 - BHO: Class - {7A94F8C4-588B-902A-6FE2-0DC00939927E} - C:\WINDOWS\system32\netaw.dll
    O2 - BHO: Class - {9E51B05C-3A1D-6175-2F9B-368F3DF431A5} - C:\WINDOWS\system32\mfcjv.dll (file missing)
    O2 - BHO: Class - {FC8C680D-3BA3-EB60-7B52-26ED982E0CFE} - C:\WINDOWS\msbg32.dll (file missing)
    O4 - HKLM\..\Run: [ipan32.exe] C:\WINDOWS\ipan32.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe
    O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appqr32.exe

    Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

    6 Assure toi d'avoir accés à tous les fichiers.
    Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    Activer la case : Afficher les fichiers et dossiers cachés
    Désactiver la case : Masquer les extensions des fichiers dont le type est connu
    Désactiver la case : Masquer les fichiers protégés du système d'exploitation
    Puis Appliquer

    7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

    C:\WINDOWS\system32\cghva.dll
    C:\WINDOWS\system32\netaw.dll
    C:\WINDOWS\system32\mfcjv.dll
    C:\WINDOWS\appqr32.exe
    C:\WINDOWS\ipan32.exe
    C:\WINDOWS\winea32.dll
    C:\WINDOWS\msbg32.dll

    8 Double clique sur About:Buster
    Clique sur Begin Removal
    Un scan est exécuté.
    Refaire un second scan.
    Poste le rapport ici.

    9 Lance Ewido.
    Fais un scan en mode complet.
    Sauvegardes le rapport.

    10 Lance et exécute CCleaner

    Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

    11 Redémarre normalement

    Poste un nouveau log HijackThis avec les rapports d'Ewido, de SpHjfix et d'About:Buster.
    0
  6. Utilisateur anonyme
     
    salut chercheur
    un conseil: about buster il faut le passer autant de fois qu il trouve qqchose (5/10/15 fois si necessaire)

    a+
    0