Sujet Précédent Sujet Suivant

Warning

tarek -  
 tarek -
Bonjour,
SmitFraudFix v2.328

Rapport fait à 15:46:50.54, 2008-06-29
Executé à partir de C:\Documents and Settings\Administrateur.PC-9287BB4555CD\Mes documents\Downloads\Programs\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS.0\SOUNDMAN.EXE
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\system32\cmd.exe
\\?\C:\WINDOWS.0\system32\WBEM\WMIADAP.EXE
C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\SoftwareDistribution\Download\Install\NDP1.1sp1-KB928366-X86.exe
C:\DOCUME~1\ADMINI~1.PC-\LOCALS~1\Temp\SL105.tmp
C:\WINDOWS.0\system32\msiexec.exe
C:\WINDOWS.0\system32\MsiExec.exe
C:\WINDOWS.0\system32\MsiExec.exe
C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.PC-9287BB4555CD

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.PC-9287BB4555CD\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.PC-\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: gfetqaxsrob.dll
BHO: QXK Olive - {843DAEB1-A153-4F65-8475-0B53A505931C}
TypeLib: {5D106D58-4634-46E9-A574-3AF9DAF7B5B7}
Interface: {00A2FEE3-A445-4E0E-B4FB-68403FCCE8F4}
Interface: {842374CD-527E-46CC-AAEE-719585319301}

[!] Suspicious: qegbdmwf.dll
SSODL: qegbdmwf - {635E86D6-283E-4326-B3B7-2B98B2BE668E}

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS.0\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 196.20.77.165

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 196.20.77.165
DNS Server Search Order: 193.251.169.165

HKLM\SYSTEM\CCS\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: NameServer=196.20.77.165
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EDD6C620-DF66-4DB7-88DE-4565FE2E3038}: NameServer=196.20.77.165 193.251.169.165
HKLM\SYSTEM\CS2\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: NameServer=196.20.77.165
HKLM\SYSTEM\CS3\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{38F2AFDA-B44F-43BC-873F-CCD13934A703}: NameServer=196.20.77.165
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EDD6C620-DF66-4DB7-88DE-4565FE2E3038}: NameServer=196.20.77.165 193.251.169.165
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

1 réponse

Réponse 1 / 1
Utilisateur anonyme
 
salut , un peux plus d explications serait appreciable .......

mais bon

Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts "

ps : c est normal que rien ne se passe

ensuite :

# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

ensuite :

Télécharge HijackThis ici :

-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...
0
tarek
 
merci bcp j'ai résolu mon problème moi meme avec noadware et clean
0

Discussions similaires

Cpu fan fail
Mistik -
Bobo -

2 réponses
Warning : your computer CHIP Fan Fail or spee
Lalane -
oufben08 -

16 réponses
Message " Your chassis has been opened"
tophe70 -
Anonyme -

14 réponses
Symbole Attention dans Word
Nortec59 -
LOUL7619 -

33 réponses
Comment faire ce symbole dans Word ?
weezy -
Mytå -

6 réponses