smitfraud Fermé

Question

bonjour á tous 
mon pc est infecté par smitfraud et je ne peux l´utiliser que parce que il me reste une partition qui me permet de  travailler. je suis novice.


Logfile of HijackThis v1.99.1
Scan saved at 21:03:32, on 12/12/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
C:
wnmff_e46.exe
C:\dfndrff_107.exe
E:\WINDOWS\System32\RunDll32.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\System32
lkfev75852457.exe
E:\WINDOWS\system32\vcmon.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Documents and Settings
ono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [newname] C:\nwnmff_e46.exe
O4 - HKLM\..\Run: [defender] C:\dfndrff_107.exe
O4 - HKLM\..\Run: [keyboard] C:\kybrdff_e107.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [0B9FA653] E:\WINDOWS\System32
lkfev75852457.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\webelated.htm
O16 - DPF: {00000000-0000-0000-0000-000320050660} - http://207.234.185.217/aboxinst_int16.exe
O16 - DPF: {00000000-0709-0000-0000-000330050660} - http://207.234.185.217/aboxinst_int21.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94EE72DE-D272-44F6-BB9B-31A510633800}: NameServer = 86.64.145.142 84.103.237.142
O20 - Winlogon Notify: Group Policy - E:\WINDOWS\system32\h40q0ed5eh0.dll (file missing)
O20 - Winlogon Notify: SideBySide - E:\WINDOWS\system32\mdxex.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Network Monitor - Unknown owner - E:\Program Files\Network Monitor
etmon.exe (file missing)
O23 - Service: Print Spooler Service (ueyyauio) - Unknown owner - E:\WINDOWS\System32
lkfev75852457.exe
O23 - Service: Windows Terminal Services - Unknown owner - E:\WINDOWS\system32\vcmon.exe

Regis59 · Answer

Salut;

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
A+

Regis59 · Answer

Salut

Le rapport est ok.

Télécharge l2mfix ici: 

http://www.downloads.subratam.org/l2mfix.exe 

Double clic sur l2mfix.exe pour lancer l'extraction. 
Dans le dossier l2mfix, double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée. 
Le bloc note va s'ouvrir avec le résultat du scan. 
Fais un copier coller du résultat sur le forum.

A+

Regis59 · Answer

Ok

Retelecharge Smitfraudfix mais dans ta partition c:/

A+

Regis59 · Answer

Prkoi, tu m'expliques?

Regis59 · Answer

re

comment cela se fait il que tu n y arrives pas?
Tu peux m expliquer comment tu procedes et prkoi t arrives pas a mettre le programme sur c:?

a+

dogmoa · Answer

si je f8 je tombe sur mon nom d´utillisateur mais si je clique dessus  une fenêtre s´ouvre avec une page de commande.
F:\Dokumente und Einstellungen\Dave>_ c´es ten allemand car le logiciel sur cette patition est en allemand.je traduis. 
F:\ Documents et mise au points\dave>_
a partir de là je suppose ke je dois entrer quelque chose ke je ne connais pas et je suis bloqué.
A+

Regis59 · Answer

Prkoi appuis tu sur f8 alors qu il suffit juste de cliker sur ce lien:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Et de l enregistrer dans c?

a+

dogmoa · Answer

c´est fait j´ai l´ai installé dans dans c

dogmoa · Answer

SmitFraudFix v2.130

Rapport fait à 23:00:32,01, 13/12/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» E:\


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings
ono


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings
ono\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1
ono\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

afideg · Answer

C'est quoi encore ce bordel sur ce FORUM dû au fait des non-inscrits ?! 1°- Ici, DOGMOA est inscrit ( Topic du 12/12 à 21H08 ) smitfraud#12 smitfraud dogmoa (mardi 12 décembre 2006 à 21:08:19) On voit ci-dessous par extrait du log HJT que c'est le même DOGMOA au 2° E:\WINDOWS\system32\spoolsv.exe C: wnmff_e46.exe C:\dfndrff_107.exe E:\WINDOWS\System32\RunDll32.exe E:\Documents and Settings ono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe Toujours en cours par Régis59 < 11 > Regis59 (mercredi 13 décembre 2006 à 22:21:06) 2°- Ici, DOGMOA est NON-inscrit ( Topic du 13/12 à 22H21 ) smitfraud smitfraud dogmoa (mercredi 13 décembre 2006 à 19:52:52) On voit ci-dessous par extrait du log HJT que c'est le même DOGMOA au 1° E:\WINDOWS\system32\spoolsv.exe C: wnmff_e46.exe C:\dfndrff_107.exe E:\WINDOWS\System32\RunDll32.exe E:\Documents and Settings ono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe Toujours en cous par < 26 > salwa5 (vendredi 15 décembre 2006 à 12:38:49) Un peu de sérieux SVP ! Al.

Regis59 · Answer

Salut Afideg,

Je te remercie. J'ai peu de temps donc je ne sais pas si les helpes ont d'autres messages.
Merci pour ton intervention.

Inutile que je continue ici

Bonne soirée Al.

Smitfraud

11 réponses

Discussions similaires