smitfraud Fermé

Question

salut 
aidez moi . mon pc est infesté par cette cochonerie de smitfraud.
voici mon log


Logfile of HijackThis v1.99.1 
Scan saved at 21:03:32, on 12/12/2006 
Platform: Windows XP (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 (6.00.2600.0000) 

Running processes: 
E:\WINDOWS\System32\smss.exe 
E:\WINDOWS\system32\winlogon.exe 
E:\WINDOWS\system32\services.exe 
E:\WINDOWS\system32\lsass.exe 
E:\WINDOWS\system32\svchost.exe 
E:\WINDOWS\System32\svchost.exe 
E:\WINDOWS\Explorer.EXE 
E:\WINDOWS\system32\spoolsv.exe 
C:
wnmff_e46.exe 
C:\dfndrff_107.exe 
E:\WINDOWS\System32\RunDll32.exe 
E:\WINDOWS\System32\ctfmon.exe 
E:\Program Files\Messenger\msmsgs.exe 
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
E:\Program Files\Alwil Software\Avast4\ashServ.exe 
E:\WINDOWS\System32
lkfev75852457.exe 
E:\WINDOWS\system32\vcmon.exe 
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe 
E:\Program Files\Internet Explorer\IEXPLORE.EXE 
E:\Documents and Settings
ono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about: 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx 
O4 - HKLM\..\Run: [newname] C:\nwnmff_e46.exe 
O4 - HKLM\..\Run: [defender] C:\dfndrff_107.exe 
O4 - HKLM\..\Run: [keyboard] C:\kybrdff_e107.exe 
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd 
O4 - HKLM\..\Run: [0B9FA653] E:\WINDOWS\System32
lkfev75852457.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe 
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background 
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe 
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll 
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\webelated.htm 
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\webelated.htm 
O16 - DPF: {00000000-0000-0000-0000-000320050660} - http://207.234.185.217/aboxinst_int16.exe 
O16 - DPF: {00000000-0709-0000-0000-000330050660} - http://207.234.185.217/aboxinst_int21.exe 
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com 
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab 
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab 
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{94EE72DE-D272-44F6-BB9B-31A510633800}: NameServer = 86.64.145.142 84.103.237.142 
O20 - Winlogon Notify: Group Policy - E:\WINDOWS\system32\h40q0ed5eh0.dll (file missing) 
O20 - Winlogon Notify: SideBySide - E:\WINDOWS\system32\mdxex.dll (file missing) 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe 
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) 
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) 
O23 - Service: Network Monitor - Unknown owner - E:\Program Files\Network Monitor
etmon.exe (file missing) 
O23 - Service: Print Spooler Service (ueyyauio) - Unknown owner - E:\WINDOWS\System32
lkfev75852457.exe 
O23 - Service: Windows Terminal Services - Unknown owner - E:\WINDOWS\system32\vcmon.exe

Configuration: Windows XP

salwa5 · Answer

bonsoir pourquoi avast est desactivé?

ouvre hijack coches ces lignes puis clic sur fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about: 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com *
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com 

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) 

O4 - HKLM\..\Run: [newname] C:\nwnmff_e46.exe 
O4 - HKLM\..\Run: [defender] C:\dfndrff_107.exe 
O4 - HKLM\..\Run: [keyboard] C:\kybrdff_e107.exe 
O4 - HKLM\..\Run: [0B9FA653] E:\WINDOWS\System32
lkfev75852457.exe 

O16 - DPF: {00000000-0000-0000-0000-000320050660} - http://207.234.185.217/aboxinst_int16.exe 
O16 - DPF: {00000000-0709-0000-0000-000330050660} - http://207.234.185.217/aboxinst_int21.exe 
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab 
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab 
O20 - Winlogon Notify: Group Policy - E:\WINDOWS\system32\h40q0ed5eh0.dll (file missing) 
O20 - Winlogon Notify: SideBySide - E:\WINDOWS\system32\mdxex.dll (file missing) 

O23 - Service: Network Monitor - Unknown owner - E:\Program Files\Network Monitor
etmon.exe (file missing) 
O23 - Service: Print Spooler Service (ueyyauio) - Unknown owner - E:\WINDOWS\System32
lkfev75852457.exe 
O23 - Service: Windows Terminal Services - Unknown owner - E:\WINDOWS\system32\vcmon.exe 


redemare en mode sans echec : (redemarrage + tapotte sans arret sur F8 desque l'ordi s'allume)

cherche et supprime les fichier en gras :
C:\nwnmff_e46.exe 
C:\dfndrff_107.exe 
C:\kybrdff_e107.exe 
E:\WINDOWS\System32
lkfev75852457.exe 
E:\WINDOWS\system32\vcmon.exe

vide la corbeille 

redemare en mode normal 

telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
(1) ad-aware version 1.06 

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite 
voir demo 
http://pageperso.aol.fr/balltrap34/adwseflash.zip 
*** 
(2) spybot version 1.4 

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite 


voir demo d utilisation 
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm 
*** 



ps : un grand merci a balltrap pour les lien :) 

(3) AVG anti spyware 
 https://www.01net.com/telecharger/

Copier/coller le rapport entier sur le forum. (n'oublie pas de le mettre a jour avant de lancer le scan)
NB suis les instruction du tutoriel 
http://www.malekal.com/tutorial_AVG_AntiSpyware.html
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/

a++++

Lyonnais92 · Answer

Bonsoir,

1) Tu recopies tout ce qu'il y a dans le dossier 
E:\Documents and Settings
ono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip

dans le dossier E:\Hijack que tu crées.

2) Fais ceci
---> http://siri.urz.free.fr/Fix/SmitfraudFix.php 

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur une réponse. Envoie le avant d'enchainer sur la suite.
----------------------------------------------------------------------------
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum


Remets un log hijackThis.

@+

afideg · Answer

Bonjour dogmoa Avant d'aller plus loin et prendre donc des risques, Fais comme ceci: Dans "Ajout/suppress de program", supprime ta version HijackThis, et remplace-la par une version française,( que tu suivras plus facilement ); comme ceci: - Avec connexion au Net en service, - télécharge la version française < http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html > - et un tuto dynamique ici < http://pageperso.aol.fr/balltrap34/Hijenr.gif > - Déconnecte-toi du net pour installer le programme. - Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. ( s'il n'y est pas, crée un raccourci sur le bureau ) - Redémarre ton PC. POURQUOI l'installer là ? Le problème consiste à avoir un dossier dédié à HijackThis; car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur. L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage. Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière. Bonne chance Al.

afideg · Answer

C'est quoi encore ce bordel sur ce FORUM dû au fait des non-inscrits ?!

1°- Ici, DOGMOA est inscrit ( Topic du 12/12 à 21H08 )
smitfraud#12

smitfraud dogmoa (mardi 12 décembre 2006 à 21:08:19)

On voit ci-dessous par extrait du log HJT que c'est le même DOGMOA au 2°

E:\WINDOWS\system32\spoolsv.exe
C:\nwnmff_e46.exe
C:\dfndrff_107.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Documents and Settings\nono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

Toujours en cours par Régis59 < 11 > Regis59 (mercredi 13 décembre 2006 à 22:21:06)

2°- Ici, DOGMOA est NON-inscrit ( Topic du 13/12 à 22H21 )
smitfraud

smitfraud dogmoa (mercredi 13 décembre 2006 à 19:52:52)

On voit ci-dessous par extrait du log HJT que c'est le même DOGMOA au 1°

E:\WINDOWS\system32\spoolsv.exe
C:\nwnmff_e46.exe
C:\dfndrff_107.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Documents and Settings\nono\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

Toujours en cous par < 26 > salwa5 (vendredi 15 décembre 2006 à 12:38:49)

Un peu de sérieux SVP !

afideg · Answer

Bonjour Salwa et dogmoa

< 18 > salwa5: il y'a combien de session sur l'ordi?
< 19 > dogmoa :c´est partitioné en 3: C ,E,F
c´est le c qui a chopé la cochonnerie.
le F redemare chaque fois que je le met en marche
c´est avec le E que je travaille.
< 20 > salwa5 :quesqu'il y'a exactement dans la partion C: ??
quand tu redemare en mode sans echec et que tu tapotte sur la touche F8 esqu 'il y' a un menu s'affiche et te propse le mode sans echec?
< 21 > dogmoa:oui mais quand je continue il ya une fenetre qui apparait sur l´ecran de mode sans ecehc avec ceci "C:\ documents and setting" comme je t´ai explique tt a l´heure et je ne peux plus continuer.
< 34 > salwa5 :Bonsoir pour les photo c'est peu etre kerio qui est mal cofigurer et qui les bloque parcequ'il les prend pour des pub
regarde dans les reglage et fait exactement comme sur le tutorial
si le probleme persiste en fera une reparation il se peu que les virus qu'on a supprimé ont endomagé quelque fichier system enfin on verra avec la suite des evenement
< 38 > dogmoa:- est ce que tout ce que l´on vient de faire inffluence toutes les cessions?
< 40 > salwa5: pour la question esque tu parle des partition ( E : C: F:) ,ou des compte d'utilisateurs?
< 41 > dogmoa :je parle des partitions C: E: F
< 43 > salwa5 :dans ce cas la reponse est non ,
il n'y aucune influence sur les autre partition
< 45 > dogmoa :dans ce cas mon probleme reste alors tout entier
car je ne peux pas utiliser les autres partitions.
car c´est eux qui sont infectées.

DE QUOI PARLE-T-ON ? Je ne comprends rien.
DE QUOI PARLE-T-ON ? Je ne comprends rien.
Al.

afideg · Answer

OK

Téléchargement:  ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Il ne recherche pas seulement les virus mais aussi les malwares et adwares.

Fais exactement ce que recommande
< https://www.malekal.com/tutorial-et-guidedr-web-cureit/ >
Guide Dr.Web CureIt

Quand c'est fait, poste le rapport ici

Al

salwa5 · Answer

bonsoir :) quelle programe te detecte smitfraud dans la partition C:?

comment esque ton ordi est configurer ? esqu'il y'a un autre system d'exploitation installé dans les partition C: et F: ??


sinon esque ton probleme d'affichage d'image est reglé? 

a+++

salwa5 · Answer

c'est une configuration complex :p 

y'a t'il un message d'erreur quand tu essay d'ouvrir les autre partition?


a++

salwa5 · Answer

essay clic droit sur le lecteur F ET CLIC Sur analyser avec avast


a+++

salwa5 · Answer

autre chose as tu le cd windows version allamande? on pourais peu etre faire une reparation si avast ne detect rien

a++

salwa5 · Answer

ok on attend d'abord le resultat du scan avast


a++++

salwa5 · Answer

je ne connais pas le programe dr web :/ . le scan avast n'as pas marché?

a++++

salwa5 · Answer

il ne fallais pas le desinstallé c'est dangereux de surfé sans antivirus :p 

a+++

salwa5 · Answer

franchement je connais pas :/

peu tu me dire a peu pres ce qu'il a detecté et supprimé?

a+++

salwa5 · Answer

ree sur le tutorial que afideg t'a donnée https://www.malekal.com/tutorial-et-guidedr-web-cureit/  ils explique comme enregistrer un raport  :) 

A l'issu du scan, vous pouvez créer un rapport à partir du menu Fichier puis Enregistrer le rapport.
Le fichier est alors enregistré au format CSV. Vous pouvez le placer sur le bureau.

voila j'attend le raport :p
a++++

salwa5 · Answer

j'ai vu sur le net que cette antivirus est payant donc je suppose qu'il supprime pas les virus mais il les detecte seulement . c'est ca?


a+++

salwa5 · Answer

il ne te propose pas de les supprimer :p?

a+++

salwa5 · Answer

dans un premier temp choisi sauvegardé :) 

a++

salwa5 · Answer

tu as deja quoi? dsl j'arrive pas a suivre :p

a++

salwa5 · Answer

on peut soit effacer , sauvegarder ou restaurer. mais le bouton restaurer est inactif. 

j'ai repondu choisi sauvegarder


a+++

salwa5 · Answer

selectione les lignes ensuite clik sur efface

a+++

salwa5 · Answer

ok c'est bien :) maintenant essay de rentrer dans les autre partition et dit nous s'il y'a toujour des problemes

a+++

afideg · Answer

Re,

Les rapports sont à l'examen; mais je vais dormir.
Bonne nuit Salwa.
;)

salwa5 · Answer

bonne nuit a afideg :p

bon alors pour ton lecteur F:  ( celui qui a le message d'erreur Issas)  a mon avis il n' ya pas grand chose a faire je pense que des fichier system ont été endomagé donc le mieu c'est de faire une reparation windows avec le cd d'installation. suis les instruction de ce lien 

http://www.informatruc.com/reparer-windows-xp/

bien sure choisi le lecteur F: c'est celui la que tu doit reparer

pour le lecteur C: c'est quoi exactement le probleme ??  essay de lancé hijackthis a l'interieur du lecteur c : pour y voir plus clair :)

pour le lecteur E: je pense avec tout les netoyage qu'on a fait il est maintenant propre :)

a+++

salwa5 · Answer

de preference imprime les instruction du site que je t'ai donnée pour ne rien oublié 

pour le lecteur C: j'attend ta reponse
a+++

afideg · Answer

Re,

dogmoa  & Salwa, ça me ferait plaisir si vous pouviez patienter jusque dimanche; en attendant l'examen du log DrWeb.

D'accord, les 3 partitions gouvernées par 2 versions XP posent problème; mais attendons ensemble s'il vous plaît.

Je n'aimerais pas une action qui puisse perturber la suite;

Merci pour votre compréhension

Al.

afideg · Answer

Merci pour ta compréhension
Bonne nuit

salwa5 · Answer

Il n'y a plus rien a analysé , dr web a effacé tout  les virus et autre malware detecté :p

moi je propose une reparation windows du lecteur F . si tu as une autre idée ou une autre proposition n'hesite pas :) 

je vais dormir aussi ; bonne nuit tout le monde


a++++

afideg · Answer

Salut à vous deux et merci

Voici les informations recueillies à propos du topic ( partie infections et examen de l'analyse ) :

1°- C'est une infection de type alcan. 
Donc y a du dollarrevenue, deskbar etc... 
C:
wnmff_e46.exe 
C:\dfndrff_107.exe 

+ look2me (qui ne semble plus actif vu les "file missing"; néanmoins il doit rester plein de .dll et clefs du registre) : 

2°- O20 - Winlogon Notify: Group Policy - E:\WINDOWS\system32\h40q0ed5eh0.dll (file missing) 
O20 - Winlogon Notify: SideBySide - E:\WINDOWS\system32\mdxex.dll (file missing) 

Normalement y a un service "Cmdservice + Network Monitor". 
Passer Look2me Destroyer et Brute force avec alcanshorty.bfu. 
voir : http://www.malekal.com/Win32.Alcan_DollarRevenue.php] 

Mais combofix est une bonne idée aussi, car il supprime Look2me et les autres trucs. 


3°- Ces services là : 
O23 - Service: Print Spooler Service (ueyyauio) - Unknown owner - E:\WINDOWS\System32
lkfev75852457.exe 
O23 - Service: Windows Terminal Services - Unknown owner - E:\WINDOWS\system32\vcmon.exe 

Sont surement dûs à des vers car la machine est un "simple" XP sans service pack et donc vulnérables aux vers dès qu'elle se connecte. 

L'installation du firewall est une bonne chose. 
L'installation du SP1 ou SP2 à la fin est recommandé. 


4°- Conclusion : 
Passer combofix histoire de. 
Faire un scan en ligne pour trouver les derniers fichiers isolés restants et les faire supprimer. 
D'après le dernier rapport HijackThis, plus de rien de dangereux ne semble tourner.


La suite en attente ( partitions )

Al.

afideg · Answer

Bonjour dogmoa Accepterais-tu de faire ceci ,SVP: Commence par ce < https://online.drweb.com/result2/ = scanonline >; et poste le rapport. Ensuite ( pas de panique , avance pas-à-pas ): 1°- Télécharge " Look2Me-Destroyer.exe " sur ton Bureau. < http://www.atribune.org/ccount/click.php?id=7 > 2°- Télécharge "Brute Force Uninstaller" (de Merijn) : < http://www.merijn.org/files/bfu.zip > TUTO malekal < http://www.malekal.com/tutorial_BruteForce.php > •Créé un nouveau dossier directement à la racine de ton disque dur ( = directement sur le C:\ ) , nomme ce dossier BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) • Fais CLIC-DROIT sur ce lien < http://metallica.geekstogo.com/alcanshorty.bfu > •-choisis "Enregistrer la cible sous..." afin de télécharger Alcanshorty.bfu (de Metallica). Enregistre dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer, lors de la sauvegarde ( = enregistrement ), assure-toi que le champ "Type" : affiche "Tous les fichiers". < http://img153.imageshack.us/img153/9630/screenshot166bk5.gif > •-Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Alcanshorty.bfu et BFU.exe (très important). IMPRIME BIEN CE QUI SUIT POUR FAIRE LE RESTE ; 3°- Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. 4°- Double-clique "Look2Me-Destroyer.exe" afin de lancer l'outil. - Coche "Run this program as a task" - Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK - Il se relancera après les 10 secondes, puis clique sur le bouton "Scan for L2M"; les icônes de ton Bureau vont disparaître : c'est normal. - Lorsque le scan termine, clique sur le bouton "Remove L2M" - Un message "Done Scanning" apparaîtra, clique OK. - Un nouveau message s'affichera : "Done removing infected files! Look2Me-Destroyer will now shutdown your computer"; clique OK. - Ton PC va maintenant s'éteindre. •-Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau. ••-Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte. 5°- Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. 6°- Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe ( dans le dossier C:\BFU) - Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : "alcanshorty.bfu " - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : "C:\BFU\alcanshorty.bfu " < http://img178.imageshack.us/img178/5884/screenshot168uz1.gif > - Coche la case « Show log after script ends" - Clique sur « Exécuter » pour que le fix ( de BFU ) fasse son boulot . • Attends que le message « Complete script execution » apparaisse et clique sur OK. •Un rapport va s'afficher dans la fenêtre du programme, copie et colle dans le bloc-notes, puis sauvegarde-le, tu le posteras plus tard sur le forum. Clique Exit pour fermer le programme BFU. 7°- Redémarre normalement 8°- Colle le rapport généré, situé ici : "C:\Look2Me-Destroyer.txt" , dans ta prochaine réponse. Colle également le rapport "C:\alcan.txt" que tu viens de sauvegarder. Merci

salwa5 · Answer

Bonjour je laisse afideg repondre a tes question , je veut just precisé que tu doit faire ces scan dans les partition infecté pas dans la partition E qui est a mon avis propre 

c'est a dire lance les scan sois dans la partition c : ou F: ( mais je supose que cette derniere ne demare plus ..)


a++++

afideg · Answer

Bonjour Salwa et dogmoa Laisse tomber ScanOnline DrWeb Fais celui-ci: Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX) < https://assiste.com/404_La_page_demandee_n_existe_pas.php > , ou là : < http://www.bitdefender.fr/bd/site/page.php > Accepte la license Accepter et installer le contrôle des ActivesX Installer le programme ( laisser faire ) Puis lancer le scanner. Copie/COLLE le rapport entier Passe alors à l'étape suivante: NOTE: La procédure prévoit ceci : « directement à la racine de ton disque dur ( = directement sur le C:\ ) »; donc, commence par ça. J'ai qqch à vérifier. Merci. Ensuite, rien n'empêche de lancer la procédure ( je suis même intéressé ) successivement sur E et sur F. ( amis je ne sais pas si les bases des utilitaires le prévoient. Courage. La fin est en vue. Merci. Al

salwa5 · Answer

bonsoir je me permet de repondre a la place d'afideg ,ca ne sert a rien de faire les manip dans la partition E: car celle ci est propre :p 

notre but c'est de desinfecté le C: et le F: 

pour le F: c'est mort donc on le laisse de coté
 
Pour le C: esque t'arrive a demarrer a partir de cette partition en mode normal??? si t'arrive pas y'a t'il un message d'erreur?

a+++

afideg · Answer

Re

« à partir de C j´ai une ivite de commande: F:\document ant setting\dave>_  »

là, tape " CHKDSK C: /P /R "

salwa5 · Answer

ree si t'arrive pas a faire les scan dans la partition C: alors je pense qu'il y'a pas grand chose a faire que de reparer windows . mais bon attend la response d'afideg peu etre qu'il a une autre idée ...


a+++

afideg · Answer

Re, oui, c'est mal écrit ( CHKDSKS C: /P /R )
l'idéal, c'est faire copier/coller "  CHKDSK C: /P /R  " ( sans les guillemets ! )

Tu peux aussi aller là :< http://www.informatruc.com/reparer-windows-xp/ > ( merci Laurent )

Si tu ne sais pas, alors, fais ceci:
« "Démarrer" > "Poste de Travail" > clic droit sur C:\ > "Propriétés" > "Nettoyage disque" »


Note: C'est nouveau ça ! 
« je peux faire un scan mais si je passe par E et demande de scanner le disque C. je peux aussi par le même processus utiliser mes document et mes fichiers qui se trouvent en C: et F: 
mais je ne peux pas demarrer mon ordi directement par C et le scanner. »

Qu'attends-tu, alors pour faire le # 95 ?

afideg · Answer

Bonjour

1°- pour ceci " Look2Me-Destroyer.exe " sur ton Bureau. 
< http://www.atribune.org/ccount/click.php?id=7 > 
Tu obtiens ces pages superposées; et tu cliques "ENREGISTRER" , puis choisis "sur le bureau" > [enregistrer] ( tu fais, s'il n'existe pas, un raccourci sur le bureau ).

2°- pour ceci : « Mais tu sais peut-être te déconnecter du Net ( à défaut de mode sans échec ).»; si tu ne sais pas activer le mode sans échec, je préfèrerais toutefois que tu te déconnectes du Net lors de la phase d'analyse ==> débranche ton modem. ( c'est pour ça qu'il faut imprimer préalablement les procédures ==> parce que tu n'auras plus accès à CCM à ce moment )
Tu te reconnecteras au Net pour poster les rapports, et poursuivre.

3°- « je n´ai pourtant pas eu de probleme avec BFU » 
OK, poste malgré tout le rapport. Merci.

Bonne journée.

afideg · Answer

Bonsoir

3°- « je n´ai pourtant pas eu de probleme avec BFU » 

OK, poste malgré tout le rapport BFU . Merci.

salwa5 · Answer

Bonsoir .désolé pour le retard .. mais tu sais deja ce que je pense :p a mon avis il faut reparer le lecteur F: avec le cd de windows 


bon courage :)

a++

salwa5 · Answer

bonsoir :) je pense qu'on a tout essayé :p et comme ta une config complex (  2 system d'explotation sur le meme pc) ca n'arrange pas les chose :/

bon courage pour la suite :) 

a+++

tiens nous au corant :)

afideg · Answer

Re,

Désolé, mais n'as-tu rien de plus important pour ton PC à penser ?
Et si c'est vital, commence par une recherche " PPPoE " sur Google.
< https://www.google.be/search?hl=fr&q=PPPoE&btnG=Recherche+Google&meta=lr%3Dlang_fr&gws_rd=ssl >

N'as-tu pas des réponses à m'apporter ?
Par exemple:
C et E sont propres. (Soit)

« mon pc il n´a pas pas changé hormis la pub intempestives qui n´apparait plus, » ==> veux-tu parler de Isass ... ? 

Tu as lancé la commande " CHKDSK C: /P /R ", et ça n'a rien donné.
C'est ce que tu as répondu. ( Donc, au redémarrage, tu n'as pas eu de vérification de ta partition C avec un message disant que tout est en ordre - aucun défaut trouvé - ) Est-ce bien cela? 

Lance la même commande ( "Démarrer" > "Exécuter" > taper .... ) " CHKDSK F: /P /R ", et s'il demande, redémarre le PC et attends la vérification ( il y a généralement un message qui défile après ). 

Ensuite essaie de lancer DrWeb sur la partition F ( "Poste de Travail" > clic droit sur F > un menu s'affiche qui devrait contenir "analyse avec DrWeb ) 

Raconte le résultat.

Al.

salwa5 · Answer

lol j'ai raté plusieur episode :) 




donc c'est la partition C: qui a le probleme Issas , peu tu essayer un truc :

esque tu recois le message d'erreur Isass si tu te deconnecte d'internet ??

a++

afideg · Answer

Dogmoa

1)- « voici le resultat Dr Web. sur F: 
A0012724.dll;F:\System Volume Information\_restore{134292EC-7F6E-4DCA-A75D-B63ED3424AAF}\RP30;Adware.Softomate;; »

Merci.  Est-ce supprimé ?  Oui ou non ?

2)- « je crois tu m´as mal compris »

C'est gentil, mais avoue que je dois insister pour être éclairé ( et encore, si en plus tu induis en erreur ... ??? )  lol.

Avoue qu'un lecteur de ceci « « mon pc il n´a pas pas changé hormis la pub intempestives qui n´apparait plus, » aurait bien eu peine à comprendre. 
C'est pourquoi, même si je supposais bien, il n'était pas du tout superflu de te redemander précision et confirmation « ==> veux-tu parler de Isass ... ? »

Il faut traiter ce message Isass maintenant !
Donne-nous le plus de précision, avec copie du message réel, les circonstances dans lesquelles ça se produit, etc.

salwa5 · Answer

Pour la partition F: il y'a peu etre un espoire du moin c ce que je pense :p

tu dit que tu peu accedé a la partition F: en mode sans echec , donc essay une restauration a une heur anterieur ( dans la partition F:)

ensuivant ce chemin


demarrer/ tout les programe/accessoire/outills systeme/ restauration du system 
ensuite tu coche "restaurer mon ordi a une heur anterieure" ensuite tu clike sur "suivant " 

Ensuite choisissez une date dans le calendrier à laquelle vous n'aviez pas encore ce problème 

pour le C: je persiste a dire qu'il faut effectuer une  === REPARATION WINDOWS===

http://www.informatruc.com/reparer-windows-xp/ 

tu boot a partir du cd d'instalation tu choisi la partition C: et tu repare tout est expliqué sur le lien  


a++++

afideg · Answer

Oui.

D'accord, Isass, même hors connexion.

- Mais est-ce que cela se passe lors de connexion internet, et avertissement d'un prochain arrêt du PC en affichant un décompte temps au bout duquel l'arrêt se produit ? As-tu déjà eu cela, antérieuremnt ?

Déjà Salwa # 87, et afideg # 115 demandent de lancer le CD Deutch.
Si dogmoa ne le fait pas, c'est qu'il a ses raisons.   ???

afideg · Answer

Re,

Diable oui, on te le demande.

Mais auparavent lis ceci < http://www.laboratoire-microsoft.org/articles/win/sasser/ >

afideg · Answer

Bonne nuit

afideg · Answer

Bonjour dogmoa, 1°- Il s'agirait d'y voir un peu plus clair. # 47 dogmoa : Isass.exe # 54 dogmoa : Isass.exe # 87 Salwa : Issas # 105 dogmoa : Isass.exe # 132 dogma : quant à Issas c´est sur la partion C: que je confondais avec F: # 133 Salwa : Issas # 135 dogmoa : Issas # 136 dogmoa : ISSAS Alors, c'est quoi en définitive ce message d'erreur, sur la partion C ? ( respectez l'orthographe, impérativement ! ) 2°- < 132 > dogmoa « voici le resultat Dr Web. sur F: A0012724.dll;F:\System Volume Information\_restore{134292EC-7F6E-4DCA-A75D-B63ED3424AAF}\RP30;Adware.Softomate;; » Quand DrWeb prend la peine de trouver des infections, il faut les supprimer . Donc ....?! 3°- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw > < http://img366.imageshack.us/img366/4891/screenshot132nd7.gif > Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html > •- Tu enregistres le fichier dans Bureau. A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau. •- Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours. •- Désactive ta restauration système (uniquement si tu es sous XP): Clic sur « Démarrer » Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu y coches la case « Désactiver la restauration » Termine par [Appliquer] •- Puis, tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe". Une page s’ouvre ; tu clic sur « Exécuter » tu suis les instructions. Tu notes au passage que l’installation va se faire en : C:\Program Files\Grisoft\AVG Anti-Spyware 7.5 ( Tu peux choisir le raccourci dans le menu « Démarrage » ) Si on te demande de redémarrer ton ordinateur, tu le fais. Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau. La première fois que tu l'utilises, tu configures le logiciel. •Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ). •Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique » et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »). Tu redémarres l'ordinateur si nécessaire. •Sur la page "Analyse", -choisir d'abord « analyse personnalisée » -clic sur « ajouter un profil » -à droite clic sur "ajouter un fichier /dossier » -une fenêtre s'ouvre, sélectionner le lecteur « C » : et valide par OK •Sur la page "Analyse", choisir ensuite l'onglet "Paramètres" > « Comment réagir » clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer » - Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces". •Ensuite l'onglet "analyser", "analyse complète du système". -A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. •- Réactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriétés, tu cliques sur onglet restauration système tu décoches la case « désactiver la restauration » et appliquer. Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. Relance HJT avec son log posté sur forum. Merci Al.

afideg · Answer

Bonsoir A°- As-tu encore ce message "Isass.exe" ? B°- Avais-tu bien respecter "désactiver"/"réactiver" la restauration système là uù je disais ? C°- Je vois que tu ne vides pas régulièrement les fichiers temporaires et les cookies ; tu pourras le faire régulèrement avec ceci : Méthode de nettoyage périodique Arrête toutes les activités en cours, sauf IE. 1°- Télécharge CCLEANER: < < https://filehippo.com/download_ccleaner/ > > Tutorial là : < https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php > 2°- Télécharge : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > Tu fermes Internet Explorer, tu te déconnectes complètement du NET ( débranche le modem ) : ou passe en mode sans échec ( < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) [En démarrant en mode sans échec, seul les fichiers nécessaires sont chargés ; la suppression de fichiers est maintenant possible du fait de leur inactivité]. Ou < http://www.microsoft.com/windows2000/fr/server/help/default.asp?url=/windows2000/fr/server/help/boot_failsafe.htm > 1°- Démarre ATF-Cleaner : -double clic sur l’icône - Puis sur « Exécuter » ; - Sous l'onglet Main, tu coches toutes les cases en cochant « Unselect All » ; - puis clic sur le bouton « Empty selected » - et au message "Done Cleaning" sur Ok> Exit. ( Il videra aussi ton répertoire "Prefetch " de tous les fichiers inutiles qu'il contient ) 2°- Lance CCleaner Simplement: -Dans l'onglet "Nettoyeur" cliquer sur "Analyse". Une fois l'analyse terminée, cliquer sur "Lancer le Nettoyage". ( 2 X ) -Dans l'onglet "Erreurs" cliquer sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuer une sauvegarde de votre registre (comme proposé). Recommencer jusqu’à qu’il n’y aie plus d’erreur détectée. D°- Je me demande si le pare-feu Kerio est bien activé . As-tu reçu des tutoriels, pour le configurer ? E°- 2°- < 132 > dogmoa « voici le resultat Dr Web. sur F: A0012724.dll;F:\System Volume Information\_restore{134292EC-7F6E-4DCA-A75D-B63ED3424AAF}\RP30;Adware.Softomate;; » Quand DrWeb prend la peine de trouver des infections, il faut les supprimer . Donc ....?! ===> pas de réponse . Merci. Al.

Smitfraud

49 réponses

Discussions similaires