rapport de smitfraudFix

Question

Bonjour,

Suivant la procédure à suivre, je poste le rapport suivant:

SmitFraudFix v2.300

Rapport fait à 15:30:47,35, 04.03.2008
Executé à partir de C:\Dokumente und Einstellungen\Julia\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Programme\Eset
od32kui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\InternetCalls.com\InternetCalls\InternetCalls.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32smsink.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	legal-at-spybot.info
127.0.0.1	www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julia


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julia\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Julia\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 

C:\Programme\IE Defender\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: AcroIEHelper.dll
BHO: Adobe PDF Reader Link Helper - {54A98DD5-0357-4EF1-A698-BB08E73CF725}
CLSID: {54A98DD5-0357-4EF1-A698-BB08E73CF725}
AppID: {54A98DD5-0357-4EF1-A698-BB08E73CF725}
AppID: AcroIEHelper.dll
Classes: AcroIEHelper.Video
TypeLib: {74D46BBA-5638-473A-83B6-97E7804A7411}
Interface: {48D78BE5-CFB9-4B66-9AC4-96D4CF21DE06}


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 212.76.224.172
DNS Server Search Order: 82.216.111.122
DNS Server Search Order: 82.216.111.121
DNS Server Search Order: 82.216.111.123

HKLM\SYSTEM\CCS\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jlpjlp · Answer

slt,

lance un nettoyage en mode sans echec avec smitfraudfix et colle le rapport


___________________




colle un rapport hijackthis et dis tes soucis actuels


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

calimero · Answer

Bonjour,
j'ai suivi la procédure sous mode sans échec et apparemment je suis désinfecté... Merci à tous, à SmitfraudFix et au site "comment çà marche"
voici le rapport après désinfection:


SmitFraudFix v2.300

Rapport fait à 15:56:37,75, 04.03.2008
Executé à partir de C:\Dokumente und Einstellungen\Julia\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset
od32kui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julia


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julia\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Julia\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 212.76.224.172
DNS Server Search Order: 82.216.111.122
DNS Server Search Order: 82.216.111.121
DNS Server Search Order: 82.216.111.123

HKLM\SYSTEM\CCS\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{85E0C970-C80E-4CE3-BBFA-0C7A998BF1FC}: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\..\{942908C2-C5E1-4956-8394-5F62C9D78767}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.76.224.172 82.216.111.122 82.216.111.121 82.216.111.123


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Rapport de smitfraudFix

2 réponses

Votre réponse

Discussions similaires

Newsletters