Problème avec spy sheriff Résolu

Question

Bonjour,

J'ai été infecté par spy sheriff. Mais après l'avoir désinstallé, il reste tout de même une série de petits virus. Voila le rapport de SmitfraudFix. Est ce que je dois simplement suivre la procédure habituelle (redémarer en mode sans échec .....) ou est ce qu'il y a autre chose à faire dans mon cas. merci d'avance!!!

rapport

SmitFraudFix v2.25

Rapport fait à 13:40:55,10 le jeu. 23/03/2006
Executé à partir de C:\Documents and Settings\Dahlqvist-Massin\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\kl1.exe PRESENT !
C:\WINDOWS\icont.exe PRESENT !
C:\WINDOWS\secure32.html PRESENT !
C:\WINDOWS\teller2.chk PRESENT!
C:\WINDOWS\tool1.exe PRESENT !
C:\WINDOWS\tool2.exe PRESENT !
C:\WINDOWS\tool3.exe PRESENT !
C:\WINDOWS\tool5.exe PRESENT !
C:\WINDOWS\toolbar.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Dahlqvist-Massin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Afficher la suite

Utilisateur anonyme · Answer

Salut,

relances SmitFraudFix et choisis l'option 2 puis colles le rapport ici et fais ceci

télécharges hijackthis:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Installe le dans son propre dossier:
-cliques droit sur le bureau, nouveau dossier, installes-le dedans.
Lance le, cliques sur "do a system scan and save logfile"
Puis copies et colles le rapport ici.

carl · Answer

est ce que je suis obligé de lancer smitfraudfix en mode sans echec ( j'arrive pas a faire démarer mon ordi en mode sans échec)

carl · Answer

Voila j'ai réussi à démarer mon ordi en mode sans échec et lancer smitfraudfix. Et j'ai aussi lancer hijackthis. Voila les deux rapport:SmitFraudFix v2.25Rapport fait à 14:32:10,96 le jeu. 23/03/2006Executé à partir de C:\Documents and Settings\Dahlqvist-Massin\Bureau\SmitfraudFix\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésC:\secure32.html suppriméC:\WINDOWS\icont.exe suppriméC:\WINDOWS\kl1.exe suppriméC:\WINDOWS\secure32.html suppriméC:\WINDOWS	eller2.chk suppriméC:\WINDOWS	ool1.exe suppriméC:\WINDOWS	ool2.exe suppriméC:\WINDOWS	ool3.exe suppriméC:\WINDOWS	ool5.exe suppriméC:\WINDOWS	oolbar.exe supprimé»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportLogfile of HijackThis v1.99.1Scan saved at 14:38:20, on 23/03/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\explorer.exeC:\Apps\ActivBoard
hksrv.exeC:\WINDOWS\RGFobHF2aXN0LU1hc3Npbg\command.exeC:\Apps\ActivBoard\MMKeybd.exeC:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\NORTON~1
avapw32.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\Apps\ActivBoard\TrayMon.exeC:\WINDOWS\system32\ctfmon.exeC:\Apps\ActivBoard\OSD.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\Dahlqvist-Massin\Bureau\Nouveau dossier\hijackthis_199\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par PlanetisR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=explorer.exe                                                                                                    "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXEO4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
avapw32.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [newname] C:\windows
ewname4.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"O4 - HKCU\..\Run: [wiro] C:\stub_113_4_0_4_0.exeO4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dllO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113919413200O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) - https://www.dexia-bil.lu/multisecure/smartstart/Win32/SmartStartCtl.cabO16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam01.kustbandet.com:8080/activex/AxisCamControl.cabO16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.dexia-bil.lu/multisecure/smartstart/Win32/SmartStartSetup.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{19940490-3B3A-4A73-93C0-349DAB00412C}: NameServer = 195.238.2.21,195.238.2.22O17 - HKLM\System\CCS\Services\Tcpip\..\{4985F979-1BA8-438F-A605-B3435C244992}: NameServer = 195.238.2.21 195.238.2.22O17 - HKLM\System\CS1\Services\Tcpip\..\{19940490-3B3A-4A73-93C0-349DAB00412C}: NameServer = 195.238.2.21,195.238.2.22O17 - HKLM\System\CS2\Services\Tcpip\..\{19940490-3B3A-4A73-93C0-349DAB00412C}: NameServer = 195.238.2.21,195.238.2.22O17 - HKLM\System\CS3\Services\Tcpip\..\{19940490-3B3A-4A73-93C0-349DAB00412C}: NameServer = 195.238.2.21,195.238.2.22O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\system32\ikjommim.dllO23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGFobHF2aXN0LU1hc3Npbg\command.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor
etmon.exe (file missing)O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exeO23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exeO23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

balltrap34 · Answer

salut
oui en mode sans echec il faut le faire

pour demarrer en sans echec fait comme ceci

clik sur demarrer/executer et tape msconfig et appuie sur entre
la sur la fenetre qui s ouvre coche demarrer en mode selectif et appliquer et redemarrer et la tu vas te retrouver en sans echec
passe le fix sauvegarde le rapport

recommence comme au dessus mais cette foix coche demarrage normal appliquer et redemarre

carl · Answer

Est ce que le rapport "HijackThis" est normal?

carl · Answer

Parce que j'ai toujours un virus qui tente d'envoyer des messages  quand je suis connecté.(norton indique que les messages n'ont pas pu être envoyés)

carl · Answer

Il ne semble plus y avoir de virus mais je n'arrive plus a ouvrir les options du pare feu windows et je n'arrive plus non plus a avoir internet sur mon réseau (ad hoc). Si tu a une solution (merci pour les tuyaux pour virer les virus)

Problème avec spy sheriff

7 réponses

Votre réponse

Discussions similaires

Newsletters