Virus infecté par spy sheriff

i2h -  
 salwa5 -
Bonjour a tous! je suis nouveau sur le forum je desirerais un ptit peu d'aide sur un spyware un peu agacant que j'ai attrapé il y a 2 jours! tout d'abord yavais spy sheriff ki m'arcelais j'ai reussi a l'enlevez mais maintenant pratiquement toute les 10 secondes j'ai un message "your computer has spyware infection" ect en lisant des forums j'ai pu voir qu'il fallait utiliser hijackhis je l'ai fais donc si quelqu'un peut m'expliquer que faire avec se rapport maintenant merci!

Logfile of HijackThis v1.99.1
Scan saved at 18:09:53, on 20/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\restore\rstrui.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eiakdugxay] c:\windows\system32\eiakdugxay.exe eiakdugxay
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [ctpmon] ctpmon.exe
O4 - HKLM\..\Run: [SvcManager] kernelex3.exe
O4 - HKLM\..\Run: [Win32] msinnt.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels1118.exe
O4 - HKLM\..\RunServices: [Win32] msinnt.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels1118.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Win32] msinnt.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HID Input Service WIN32 (HID_Input_Service_WIN32) - Unknown owner - C:\WINDOWS\System32\msiexecu.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe
Configuration: Windows XP
Internet Explorer 6.0

97 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Un problème de spyware génère des alertes répétées et des redirections sur un PC Windows XP, avec un fichier HijackThis détaillant de multiples entrées suspectes et des pages web modifiées. Des réponses utiles privilégient SmitFraudFix en mode sans échec, choisir l’option 1 pour générer un rapport et nettoyer les clés de démarrage ainsi que les éléments perdus, puis répéter l’opération si nécessaire. En cas d’échec, certains suggèrent d’installer un navigateur alternatif comme Firefox et de reprendre le processus, tandis que les rapports de SmitFraudFix peuvent être partagés pour éclairer l’étape suivante.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Salut i2h ! :-)

    Ton PC est infecté. La désinfection se fera par étapes, OK ? ;-)
    Pour commencer :

    Télécharge ceci (merci à S!Ri pour ce programme) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Aide : http://siri.urz.free.fr/Fix/SmitfraudFix.php

    * Dézippe-le (clic droit - extraire tout)
    * Double-clique sur Smitfraudfix.cmd.
    * Choisis l’option 1, il va générer un rapport.
    * Copie-colle le sur le poste stp.

    A++++
    0
  2. i2h
     
    Oki pas de soucis mais jessaye de telecharger le lien que tu as indiqué il semble qu'il ne soit plus sur le serveur ou innacesible
    0
  3. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Essaie avec celui-ci alors :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Double-clique sur SmitfraudFix.exe une fois celui-ci téléchargé.
    Puis suis la manip' que je t'ai indiqué en <1> (pas besoin de le dézipper, c'est un .exe)

    A+++
    0
  4. i2h
     
    Merci! voici le rapport!

    SmitFraudFix v2.127

    Rapport fait à 18:58:11,54, 20/01/2007
    Executé à partir de C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\.protected PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    \.protected PRESENT !
    \spysheriff.lnk PRESENT !
    \.protected PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    pe386 détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    OK. Maintenant, refais la manip' en choisissant l'option 2.
    Comme tout à l'heure, copie-colle le rapport.

    A+++++
    0
  7. i2h
     
    voila!

    SmitFraudFix v2.127

    Rapport fait à 19:10:53,83, 20/01/2007
    Executé à partir de C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  8. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Re.

    Remets un rapport SmitfraudFix (option 1) pour vérifier si il reste quelquechose.
    + un nouveau rapport HijackThis.

    ;-))
    0
  9. i2h
     
    voila le smitfraudfix je fais lotre

    SmitFraudFix v2.127

    Rapport fait à 19:35:55,46, 20/01/2007
    Executé à partir de C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
    0
  10. i2h
     
    Voila lotre

    Logfile of HijackThis v1.99.1
    Scan saved at 19:37:07, on 20/01/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [eiakdugxay] c:\windows\system32\eiakdugxay.exe eiakdugxay
    O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
    O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data\wdokbye.dll",bpzgoi
    O4 - HKLM\..\Run: [ctpmon] ctpmon.exe
    O4 - HKLM\..\Run: [SvcManager] kernelex3.exe
    O4 - HKLM\..\Run: [Win32] msinnt.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunServices: [Win32] msinnt.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [Win32] msinnt.exe
    O4 - Startup: .protected
    O4 - Global Startup: .protected
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: HID Input Service WIN32 (HID_Input_Service_WIN32) - Unknown owner - C:\WINDOWS\System32\msiexecu.exe
    O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe
    0
  11. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Re. Avant toute manipulation, mets Avast et lance un scan avec.
    Supprime tout ce qu'il trouve et remets un log HijackThis.

    A++++
    0
  12. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    OK. Lorsque tu auras le temps, fais ceci stp :

    Télécharge Blacklight (de F-Secure) à l’une de ces 2 adresses :
    https://www.f-secure.com/en
    ou https://www.f-secure.com/en

    et enregistre-le sur ton Bureau.

    * Double-clique sur blbeta.exe et accepte la licence
    * Laisse [X]scan through Windows Explorer activé
    * Clique sur Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Ouvre ce fichier et copie-colle le contenu de ce rapport ici.

    A++++
    0
  13. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut Nilou
    Juste en passant

    Le Logfile of HijackThis doit être fait en mode normal, or au poste <9> il est en mode sans échec.
    Donc faudrait qu'il le refasse, (à moins que c'est toi qui l'ait demandé--zé pas tout lu)))lol

    biz

    A+

    0
  14. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Coucou ^^Marie^^ ;-)

    J'avais pas vu ... :-)
    Fix executé en mode sans echec

    Merci !

    Donc, i2h, refais tout d'abord le scan de SmitfraudFix, puis celui de HijackThis .. en mode normal. ;-)

    Bises :)
    Nils
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Je viens de voir aussi que son log est mal placé

      Faut qu'il le refasse en suivant correctement le tuto ici

      F - Hijackthis - Outil de diagnostic et réparation
      lire démo
      http://pageperso.aol.fr/balltrap34/Hijenr.gif
      http://pageperso.aol.fr/balltrap34/demohijack.htm
      Télécharge version française ici
      http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
      Copie/colle le rapport

      Bon courage

      A++
      0
  15. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Un grand merci à ^^Marie^^ et à Lyonnais92 pour leur aide sur ce post.

    Je vais donc récapituler, sous forme de liste :

    En mode normal

    * Télécharge la dernière version de SmitfraudFix ici :
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Aide : http://siri.urz.free.fr/Fix/SmitfraudFix.php

    - Dézippe-le (clic droit - extraire tout)
    - Double-clique sur Smitfraudfix.cmd.
    - Choisis l’option 2 pour supprimer les éventuelles bestioles.
    - Copie-colle le sur le poste stp.

    * Télécharge ce fichier (par ejvindh) :
    http://www.uploads.ejvindh.net/rustbfix.exe

    - Enregistre-le sur le Bureau
    - Double-clique sur rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

    A+++++
    0
  16. i2h
     
    re bonjour a vous! et toujours merci pour votre aide, donc j'ai redemarré en mode normal se qui me fait ralentir la machine mais bon on fais avec! donc j'ai fais le hijackthis qui me donne le rapport si dessous par contre smitfraudfix ne veut pa sexécuter il me dit qu'un fichier a étais deplacer

    Logfile of HijackThis v1.99.1
    Scan saved at 13:13:30, on 21/01/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\msiexecu.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctpmon.exe
    C:\WINDOWS\System32\msinnt.exe
    C:\WINDOWS\System32\ctpmon.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wlmsngr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    c:\windows\if2.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\HijackThis.exe
    C:\Program Files\Maxthon\Maxthon.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [eiakdugxay] c:\windows\system32\eiakdugxay.exe eiakdugxay
    O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
    O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data\wdokbye.dll",bpzgoi
    O4 - HKLM\..\Run: [ctpmon] ctpmon.exe
    O4 - HKLM\..\Run: [SvcManager] kernelex3.exe
    O4 - HKLM\..\Run: [Win32] msinnt.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunServices: [Win32] msinnt.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [Win32] msinnt.exe
    O4 - Startup: .protected
    O4 - Global Startup: .protected
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: HID Input Service WIN32 (HID_Input_Service_WIN32) - Unknown owner - C:\WINDOWS\System32\msiexecu.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe (file missing)
    0
  17. i2h
     
    aprés persistance j'ai reussi a acceder au logiciel qui me donne c'est resultat

    SmitFraudFix v2.127

    Rapport fait à 13:24:04,17, 21/01/2007
    Executé à partir de C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    C:\secure32.html PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ichem.HEOUAINE-K6Z0AL\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    pe386 détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  18. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    slt tous,

    Ta version de smitfraudfix est passée ...
    si tu ne veux pas la désinstaller fais l'option 4 pour la mettre à jour

    sinon supprime la et installe celle là :

    Télécharges smitfraudfix:(merci a S!RI pour ce programme)

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1
    cela vas générer un rapport,copie/colle le.

    ========================

    ET comme te l'as demandé Nilou

    Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe
    ...et sauvegarde-le sur ton Bureau.

    Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse

    a+
    0
  • 1
  • 2
  • 3
  • 4
  • 5