Smitfraudfix ... un malware ?
franksalsa
Messages postés
378
Statut
Membre
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
--Bonsoir à tous,
Aurais-je la berlue ?
A² me dit que Smitfraudfix et process...quelque chose qui l'accompagne sont des malwares .
J'ai donc supprimé et réinstallé via ce post :
Ajouté par Chercheurbis (07/09/2005 à 16:42 GMT+2)
Bonjour
* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Et rebelote A² me dit que c'est un malware.
Quelqu'un peut-il m'aider ?
J'ai toujours Smitfraud-C.
Je suis plutôt un "manuel".
Je sature devant les montagnes de posts traitant de Smitfraud.
Et les post HijackThis, c'est pas d'la tarte ( SUPER l'intervention de Lilibanshee qui a mieux formulé nos désirs ).
Merci,
Frank
Salsa y ritmo pa'gozar
Aurais-je la berlue ?
A² me dit que Smitfraudfix et process...quelque chose qui l'accompagne sont des malwares .
J'ai donc supprimé et réinstallé via ce post :
Ajouté par Chercheurbis (07/09/2005 à 16:42 GMT+2)
Bonjour
* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Et rebelote A² me dit que c'est un malware.
Quelqu'un peut-il m'aider ?
J'ai toujours Smitfraud-C.
Je suis plutôt un "manuel".
Je sature devant les montagnes de posts traitant de Smitfraud.
Et les post HijackThis, c'est pas d'la tarte ( SUPER l'intervention de Lilibanshee qui a mieux formulé nos désirs ).
Merci,
Frank
Salsa y ritmo pa'gozar
A voir également:
- Smitfraudfix ... un malware ?
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Mcafee malware - Accueil - Piratage
- Supprimer malware - Guide
- Tor jack malware - Forum Antivirus
- Win64 malware gen - Forum Virus
7 réponses
Bonsoir
Le fichier process.exe n'est pas aimé car sa signature est proche des méchants qu'il combat.
Mais il n'est pas infecté. C'est un processus très puissant.
Si tu as des soucis, télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
Démo en image ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Fais un scan et poste l'analyse ici.
Le fichier process.exe n'est pas aimé car sa signature est proche des méchants qu'il combat.
Mais il n'est pas infecté. C'est un processus très puissant.
Si tu as des soucis, télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
Démo en image ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Fais un scan et poste l'analyse ici.
--Bonjour,
j'ai pris le taureau par les cornes pour régler mon pb.
voici le log (j'y ai mis quelques notes, si ce sont des conneries n'y prétez pas attention et dites-le moi svp)
Logfile of HijackThis v1.99.1
Scan saved at 1:05:52, on 3/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
Il y aurait 1 bon winlogon et 2 mauvais, celui-ci dans system32 serait un bon…
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
Isas (ver SPYBOT.CJ) et Isasse ( ver RBOT-YL) sont des mauvais mais celui-ci…
C:\WINDOWS\system32\svchost.exe
Se trouvant ici, ce serait un mauvais mis par le trojan LDPINCH-AU (idem pour tous les svchost.exe se trouvant ici)
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
Viendrait du trojan IRC.FLOOD.G
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MRU-Blaster\scheduler.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Sachez aussi que je ne peux toucher à 016.
Merci.
Frank
Salsa y ritmo pa'gozar
j'ai pris le taureau par les cornes pour régler mon pb.
voici le log (j'y ai mis quelques notes, si ce sont des conneries n'y prétez pas attention et dites-le moi svp)
Logfile of HijackThis v1.99.1
Scan saved at 1:05:52, on 3/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
Il y aurait 1 bon winlogon et 2 mauvais, celui-ci dans system32 serait un bon…
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
Isas (ver SPYBOT.CJ) et Isasse ( ver RBOT-YL) sont des mauvais mais celui-ci…
C:\WINDOWS\system32\svchost.exe
Se trouvant ici, ce serait un mauvais mis par le trojan LDPINCH-AU (idem pour tous les svchost.exe se trouvant ici)
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
Viendrait du trojan IRC.FLOOD.G
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MRU-Blaster\scheduler.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Sachez aussi que je ne peux toucher à 016.
Merci.
Frank
Salsa y ritmo pa'gozar
Bonjour
Ton rapport est propre. Pas de signe d'infection.
Tu disais avoir Smitfraud.C
As tu fais des manipulations ?
As tu encore des dysfonctionnements ?
Ton rapport est propre. Pas de signe d'infection.
Tu disais avoir Smitfraud.C
As tu fais des manipulations ?
As tu encore des dysfonctionnements ?
--Bonjour,
Spybot me dit que j'ai Smitfraud-C comportant 26 éléments
Chaque élément commence par
Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
puis
HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
puis 26 suites différentes, en voici 5
dl.ad-ware.cc\*!=W=4
e-finder.cc\*!=W=4
s2.kav.cc\*!=W=4
www.609.com\*!=W=4
www.niger.ru\*!=W=4
Mon pc se comporte bizarrement parfois (certaines actions sont ralenties, et peut-être que depuis que j'ai mis modzilla, certains éléments sont inaccessibles)
IMPORTANT
j'ai Isass.exe et sur CCM il est dit clairement à "processus" que cela vient de SASSER
et Explorer.EXE ne serait pas très clean non plus
je ne comprend plus
Quel est ton avis ?
Merci de ton aide
Frank
Salsa y ritmo pa'gozar
Spybot me dit que j'ai Smitfraud-C comportant 26 éléments
Chaque élément commence par
Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
puis
HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
puis 26 suites différentes, en voici 5
dl.ad-ware.cc\*!=W=4
e-finder.cc\*!=W=4
s2.kav.cc\*!=W=4
www.609.com\*!=W=4
www.niger.ru\*!=W=4
Mon pc se comporte bizarrement parfois (certaines actions sont ralenties, et peut-être que depuis que j'ai mis modzilla, certains éléments sont inaccessibles)
IMPORTANT
j'ai Isass.exe et sur CCM il est dit clairement à "processus" que cela vient de SASSER
et Explorer.EXE ne serait pas très clean non plus
je ne comprend plus
Quel est ton avis ?
Merci de ton aide
Frank
Salsa y ritmo pa'gozar
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut
tu peux supprimer ce que spybot te propose
non tu n'as pas Isass.exe mais Lsass.exe à lire ton loh Hj donc c'est ok
a+
tu peux supprimer ce que spybot te propose
non tu n'as pas Isass.exe mais Lsass.exe à lire ton loh Hj donc c'est ok
a+
Bonsoir
Et si Spybot ne les supprime pas, télécharge DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
Enregistre le sur le Bureau.
Utilisation : clic droit / Installer
Et si Spybot ne les supprime pas, télécharge DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
Enregistre le sur le Bureau.
Utilisation : clic droit / Installer
