Smitfraud-C fantôme ?

franksalsa Messages postés 378 Statut Membre -  
franksalsa Messages postés 378 Statut Membre -
--Bonjour,

Peut-être suis-je parano; mais il semblait que j'avais Smitfraud-C.
A vous lire je m'étais inquiété pour rien.

MAIS

Quelqu'un peut-il me dire pourquoi Spybot en mode normal me dit que j'ai Smitfraud-C ( réglages utilisateurs, HKEY_USERS, 26 éléments Modification du registre) et qu'en mode sans échec, Internet déconnecté, restauration systéme désactivée, fichiers et dossiers cachés affichés, masquer les extensions et les fichiers protégés décochés il ne trouve rien ?

Je vous remercie d'avance pour votre réponse.

Frank

Salsa y ritmo pa'gozar

7 réponses

  1. Utilisateur anonyme
     
    salut

    Tu as essayé de les supprimer en mode normal ?

    Tu as le rapport de spybot ? poste le pour voir

    a+
    0
  2. franksalsa Messages postés 378 Statut Membre 3
     
    --Salut,

    Voici le rapport demandé :

    --- Search result list ---
    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adulthell.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\bin.wordsx.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\cc20foreva.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\crl.thawte.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\datingforlove.org\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dl.ad-ware.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\e-finder.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ewizard.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\fast-look.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\fuck-fuck.org\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\greg-tut.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\letgohome.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\love-catalog.net\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\makechoice.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\meetyourfriend.biz\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\msnprotection.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\new.8ad.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s13.remove.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s2.kav.cc\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terra.hcworld.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\tracking.allposters.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\visitfriend.net\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webpidor.biz\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.6o9.com\*!=W=4

    Smitfraud-C.: Réglages utilisateur (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-448539723-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.niger.ru\*!=W=4

    Spybot ne sait pas me l'enlever.
    Une réponse à ma question m'aiderait aussi à mieux comprendre la différence entre le mode normal et le mode sans échec.

    Si tu pouvais aussi me dire si Smitfraud-C est transmissible via mes mails, sans que je le sache.

    Bonsoir ou bonjour et merci.

    Frank

    Salsa y ritmo pa'gozar
    0
  3. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    Télécharge ici:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    dézippe le contenu de l'archive
    Lance smitfraudfix.cmd
    Dans le menu, sélectionne l'option 1
    poste le rapport ici.

    Pour supprimer ces clés, sélectionne l'option 3 du menu.

    a+
    0
    1. franksalsa Messages postés 378 Statut Membre 3
       
      Salut,

      J'ai retéléchargé ton Smitfraudfix, je l'ai lancé en mode sans échec (sans restauration et fichiers non masqués etc..., Internet déconnecté) , d'abord option 1 puis 2 puis 3, suivis à chaque fois des rapports suivants, j'ai ensuite relancé en mode normal Spybot, j'ai toujours Smitfraud-C.
      J'ai oublié de remettre restauration du système etc... quelques minutes, avant que je ne m'en rende compte, je ne crois pas que celà prête à conséquences.

      Voici les rapports demandés :


      Rapport fait à 7:47:17,54 le ven. 11/11/2005
      Executé à partir de C:\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

      Rapport fait à 7:45:43,90 le ven. 11/11/2005
      Executé à partir de C:\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés




      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


      Rapport fait à 7:47:17,54 le ven. 11/11/2005
      Executé à partir de C:\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

      J'espère que cela vous aidera.

      A+

      Frank
      0
  4. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    Pas de problèmes concernant la restauration du système.
    Par contre Pour SmitfraudFix, execute l'option 3 en mode Normal (et pas en mode sans echec).

    a++
    0
    1. franksalsa Messages postés 378 Statut Membre 3
       
      --Salut,

      Aïe aïe aïe...

      J'ai exécuté ce que tu m'as demandé et je ne sais pas s'il y a de cause à effet, mais depuis mon pc tourne très difficilement, quelque soit le programme ou l'application et a un comportement vraiment "bizarre" (plantage et autres).

      Par contre Spybot ne détecte plus Smitfraud-C.

      J'ai attendu un peu pour ne pas réagir dans la précipitation mais c'est de pire en pire.

      L'option 3 n'aurait-elle pas endommagé autre chose ?

      Je te remercie de ton aide, mais je suis très ennuyé.

      Je précise que je ne suis pas un pro.

      En attendant une réponse, je lance CleanUp, A², Ad-Aware, SpywareBlaster, Spybot, CWShredder.
      J'ai MRU-Blaster qui tourne en silence et tous les jours à 20h quand mon pc est allumé Kaspersky m'analyse complètement mon pc.

      MAIS j'ai enlevé ZA, il entre en conflit avec Skynet (Belgique), je leur téléphone de suite pour le remettre en service, le pb chez eux c'est que je peux tomber sur un docteur es-informatique ou un baltringue pfff.

      Voilà, tu sais, vous savez tout, j'espère.

      (hum...je peux quand même utiliser mon pc pendant l'exécution des programmes sus-mentionnés, hein ?)

      Je vous souhaite à tous une bonne journée, ici il y a un beau soleil.

      Frank

      Salsa y ritmo pa'gozar
      0
    2. franksalsa Messages postés 378 Statut Membre 3
       
      --Bonjour,

      Personne ne peut m'aider ?

      Frank

      Salsa y ritmo pa'gozar
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. franksalsa Messages postés 378 Statut Membre 3
     
    --Salut,

    Voici le rapport Hijack demandé.
    J'ai un peu trainé, mais je ne suis pas toujours devant mon pc et suis vite saturé, j'ai peur de faire de mauvaises manips, j'ai passé tout ce que j'ai dans mon pc comme A², adAware etc..., corbeille vide, fichiers non cachés etc...mises à jour faites, Internet déconnecté enfin le max (je crois) avant de poster un log.

    IMPORTANT
    je ne peux plus mettre ZA pour le moment; j'ai des pbs avec Skynet.be.
    la dernière fois le helpdesk incompétent m'a carrément raccroché au nez, je vais changer de fournisseur (mot exact ?), en Belgique c'est la galère; prix et service.

    j'ai aussi de gros pb de compréhension de SpywareBlaster en anglais; j'avais entre autre 1500 CoolWebSearch, j'ai commencé à les cocher un à un puis j'ai abandonné et je ne sais pas ce que j'ai fait, via lui ou un autre "nettoyeur", maintenant je n'en aurais plus aucun (je suis très dubitatif).

    si j'écris trop de littérature, qu'on me le dise, que je ne lasse pas les possibles aides.

    Voici le log, bonne lecture.

    Logfile of HijackThis v1.99.1
    Scan saved at 2:58:34, on 2/12/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\System32\keyhook.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MRU-Blaster\scheduler.exe
    C:\Program Files\MRU-Blaster\scheduler.exe
    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
    O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32(2).dll
    O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
    O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version5/Applet/vchatsign.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128303424329
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

    merci, à bientôt

    Frank

    Salsa y ritmo pa'gozar
    0
  7. franksalsa Messages postés 378 Statut Membre 3
     
    --Bonjour,

    Hum...ya quelqu'un ?

    Au revoir

    Frank
    Salsa y ritmo pa'gozar
    0