De l'aide pour le virus spy sheriff

julien947 Messages postés 14 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour, je suis contaminé par spy sherif, j'en ai effacé une partie mais il men reste encore beaucoup a effacer.
Kelkun pourrait m'aider svp????

voici mon log

Logfile of HijackThis v1.99.1
Scan saved at 14:40:39, on 17/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mfctz.exe
C:\DOCUME~1\MOI\LOCALS~1\Temp\95.tmp.exe
C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\sysjd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {18BD7678-F3E6-0F97-58E1-25729D99EF1B} - C:\WINDOWS\addnw.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mfctz.exe] C:\WINDOWS\system32\mfctz.exe
O4 - HKLM\..\Run: [95.tmp] C:\DOCUME~1\MOI\LOCALS~1\Temp\95.tmp.exe
O4 - HKLM\..\Run: [96.tmp] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
O4 - HKLM\..\Run: [95.tmp.exe] C:\DOCUME~1\MOI\LOCALS~1\Temp\95.tmp.exe
O4 - HKLM\..\Run: [96.tmp.exe] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysjd.exe

6 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut commence par ceci
    telecharge
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus sur smitfraudfix.cmd et tu choisi l option 1
    cela vas generer un rapport donne nous le
    voila a quoi cela resemble http://siri.urz.free.fr/Fix/SmitfraudFix.php
    *******
    redemarre en sans echec
    pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5

    relance le et choisi cette fois l option 2 et repond oui a tous
    redemarre et donne le nouveau rapport
    *******
    donne les deux rapport
    0
    1. julien947 Messages postés 14 Statut Membre
       
      j'ai déja accompli ces manipulations, grace a ca je n'ai plu eu mon fond d'écran bloké et window c'est arrété de me répété sans cesse "Your computer is infected.

      mon rapport aprés l'option 2 été le suivant :
      SmitFraudFix v2.08

      Rapport fait à 22:22:26,06 le 15/12/2005
      Executé à partir de C:\unzipped\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\winstall.exe supprimé
      C:\WINDOWS\desktop.html supprimé
      C:\Documents and Settings\MOI\Application Data\Install.dat supprimé


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    refait le ton rapport date du 15
    0
  3. julien947 Messages postés 14 Statut Membre
     
    voila mon rapport
    SmitFraudFix v2.08

    Rapport fait à 12:56:36,34 le 18/12/2005
    Executé à partir de C:\unzipped\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    remet un hijack et ont fini le nettoyage
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. julien947 Messages postés 14 Statut Membre
     
    Logfile of HijackThis v1.99.1
    Scan saved at 13:40:54, on 20/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\mfctz.exe
    C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Spyware Doctor\swdoctor.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\sysjd.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\jre.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\unzipped\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Class - {18BD7678-F3E6-0F97-58E1-25729D99EF1B} - C:\WINDOWS\addnw.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [mfctz.exe] C:\WINDOWS\system32\mfctz.exe
    O4 - HKLM\..\Run: [96.tmp] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    O4 - HKLM\..\Run: [96.tmp.exe] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysjd.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut :

    ****************************************************************
    ► imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    ****************************************************************
    ► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

    ad-aware (1)version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    ***
    spybot (2)version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    tuto animée d instalation d hijackthis http://pageperso.aol.fr/balltrap34/Hijenr.gif

    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***
    et aussi ceci
    CleanUp40.exe(3)

    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ***
    a2(4)

    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    ***
    ►About:Buster.
    Tu le télécharges sur :
    http://www.majorgeeks.com/download4289.html

    clik "Check for updates".
    telecharge les mises a jour
    referme le
    ont l utiliseras plus tard

    ****************************************************************
    ►télécharge : process xp ici:
    http://www.sysinternals.com/files/procexpnt.zip
    decompresse le

    Déconnecte toi
    Ferme tous les programmes

    double clic sur processxp.exe

    * Dans la fenêtre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionne seulement les lignes qui contiennent la dll ojofh.dll puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    * Dans la fenêtre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionner seulement les lignes qui contiennent la dll ojofh.dll puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    et recommence avec celle ci addnw.dll
    ****************************************************************

    assure toi de ceci

    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ****************************************************************
    vide tes fichiers temps et tempory internet file sur tous les utilisateur

    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    ****************************************************************
    relance hijack coche ces lignes et ensuite clik sur fix

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {18BD7678-F3E6-0F97-58E1-25729D99EF1B} - C:\WINDOWS\addnw.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [mfctz.exe] C:\WINDOWS\system32\mfctz.exe
    O4 - HKLM\..\Run: [96.tmp] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    O4 - HKLM\..\Run: [96.tmp.exe] C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysjd.exe

    ****************************************************************
    ►clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I)

    Règle-le sur "Arrêté" et "Désactivé".

    ****************************************************************
    ►utilise about buster autant de foix qu il trouve quelque chose(5/10/15 fois si neccessaire)

    ****************************************************************
    redemarre en mode sans echec

    mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    ****************************************************************
    recherche et suppr ceci
    C:\WINDOWS\system32\ojofh.dll/sp.html#88449%
    C:\WINDOWS\system32\ojofh.dll
    C:\WINDOWS\addnw.dll
    C:\WINDOWS\system32\mfctz.exe
    C:\DOCUME~1\MOI\LOCALS~1\Temp\96.tmp.exe
    C:\WINDOWS\system32\sysjd.exe

    ****************************************************************

    ****************************************************************
    ►passe adaware et vire tous se qu il trouve
    ****************************************************************
    ►passe spy boot et vire tous se qu il trouvent
    ****************************************************************
    ►passe a2
    ****************************************************************
    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

    et precise ou en sont tes soucis

    --
    0