Help :( bcp de trojan et de Spy ( Hijack + ewido....) - Sécurité - Windows & Software
Marsh Posté le 06-07-2006 à 10:33:48
Bonjour, télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le
# Fais un clic droit sur ce lien
http://dude2005.free.fr/batchs/UNPFFC.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Dézippe-le (clic droit >> Extraire ici) et double clique sur UNPFFC.bat
tape 3 et valide par entrée
copie/colle-le dans un message le résultat.
Marsh Posté le 06-07-2006 à 12:37:22
SmitFrauFix :
SmitFraudFix v2.65
Rapport fait à 12:38:26,67, 06/07/2006
Executé à partir de C:\Documents and Settings\Flo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Flo\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Flo\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
=================================================
UNPFFC
UNPFFC v2 maj 30/05/06
Rapport réalisé le 06/07/2006 à 12:39:34,73
********** Programmes installés **********
ABC (remove only)
Ad-Aware SE Personal
Adobe Illustrator CS
Adobe Photoshop 7.0
Adobe SVG Viewer 3.0
Archiveur WinRAR
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Audacity 1.2.4
Azureus
Belkin Bluetooth Software
BitComet 0.68
BSPlayer
CCleaner (remove only)
Correctif Windows XP - KB823980
Correctif Windows XP - KB824146
Correctif Windows XP - KB835732
Correctif Windows XP (SP2) Q816650
Disc2Phone
Désinstaller Raveille
eMule
ewido anti-spyware 4.0
ExactWord
Google Earth
GTK+ 2.4.14 runtime environment
HijackThis 1.99.1
HLSW v1.0.0.50
hp deskjet 845c series (Remove only)
J2SE Runtime Environment 5.0 Update 6
K-Lite Codec Pack 2.72 Full
Kaspersky Online Scanner
Media Player Classic fr
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
mIRC
Mozilla Firefox (1.5.0.4)
MSN Messenger 7.5
Nero 6 Ultra Edition
NetCableTV Download Manager Lite
NetCableTV E3TV Player 2.6
NVIDIA Drivers
NvMixer
OpenOffice.org 2.0
PDF Editeur 2
Prey Demo
Service Pack 1 pour Windows XP
Sony Ericsson PC Suite
Sony Ericsson W800 Software
SpeedFan (remove only)
Starcraft
Sub Station Alpha v4.08
System Requirements Lab
Système anti-virus AVG 7.1
TaGG Ip
TeamSpeak 2 RC2
TRUST 120 SPACEC@M
VideoLAN VLC media player 0.8.2
WebFldrs XP
Winamp (remove only)
Yahoo! Toolbar
********** Répertoire de C:\Program Files **********
04/05/2006 22:35 <REP> ABC
28/04/2006 11:59 <REP> Adobe
07/06/2006 15:49 <REP> Ahead
25/05/2006 16:21 <REP> Alcoda
05/07/2006 20:04 <REP> a-squared Anti-Malware
21/04/2006 16:48 <REP> ATI Technologies
02/06/2006 06:24 <REP> Audacity
14/06/2006 00:08 <REP> Azureus
07/06/2006 12:56 <REP> Belkin
23/06/2006 14:54 <REP> BitComet
05/07/2006 19:56 <REP> CCleaner
28/05/2006 19:56 <REP> Common files
21/04/2006 16:33 <REP> ComPlus Applications
05/07/2006 16:24 <REP> Cowabanga
29/05/2006 14:29 <REP> Disc2Phone
21/04/2006 16:56 <REP> DivX
05/07/2006 16:46 <REP> ewido anti-spyware 4.0
21/04/2006 17:27 <REP> Fichiers communs
07/06/2006 12:19 <REP> Google
05/07/2006 18:57 <REP> Grisoft
25/04/2006 13:43 <REP> Haali
17/06/2006 08:19 <REP> HeroOnline
07/05/2006 16:14 <REP> Hewlett-Packard
02/07/2006 15:39 <REP> HLSW
07/05/2006 16:14 <REP> hp deskjet 845c series
21/04/2006 16:45 <REP> InstallShield Installation Information
21/04/2006 16:34 <REP> Internet Explorer
21/04/2006 17:08 <REP> Inventel
29/05/2006 16:12 <REP> Java
25/04/2006 19:40 <REP> K-Lite Codec Pack
05/07/2006 23:23 <REP> Lavasoft
25/04/2006 13:26 <REP> Media Player Classic
21/04/2006 16:33 <REP> Messenger
21/04/2006 16:36 <REP> microsoft frontpage
21/04/2006 16:56 <REP> mIRC
21/04/2006 16:34 <REP> Movie Maker
21/04/2006 16:59 <REP> Mozilla Firefox
21/04/2006 16:33 <REP> MSN
21/04/2006 16:33 <REP> MSN Gaming Zone
21/04/2006 17:16 <REP> MSN Messenger
13/05/2006 20:36 <REP> NCTV
21/04/2006 16:34 <REP> NetMeeting
21/04/2006 16:45 <REP> NVIDIA Corporation
01/06/2006 16:53 <REP> OpenOffice.org 2.0
21/04/2006 16:34 <REP> Outlook Express
23/04/2006 15:21 <REP> PDF Editeur 2
26/06/2006 08:51 <REP> Prey Demo
27/04/2006 19:11 <REP> Raveille
21/04/2006 17:08 <REP> Securitoo
21/04/2006 16:33 <REP> Services en ligne
29/04/2006 12:53 <REP> Sony
28/05/2006 19:56 <REP> Sony Ericsson
13/06/2006 17:50 <REP> SpeedFan
05/07/2006 23:08 <REP> Spybot - Search & Destroy
27/06/2006 13:43 <REP> Sub Station Alpha v4.08
21/04/2006 16:58 <REP> TaGG Ip
04/05/2006 19:17 <REP> Teamspeak2_RC2
21/04/2006 16:40 <REP> Uninstall Information
21/04/2006 19:31 <REP> VideoLAN
25/04/2006 13:20 <REP> Webteh
23/04/2006 10:27 <REP> Winamp
21/04/2006 16:34 <REP> Windows Media Player
21/04/2006 16:33 <REP> Windows NT
21/04/2006 16:33 <REP> WindowsUpdate
05/05/2006 22:07 <REP> WinRAR
21/04/2006 16:36 <REP> xerox
0 fichier(s) 0 octets
68 Rp(s) 192ÿ860ÿ160 octets libres
********** Répertoire de C:\Program Files\Fichiers communs **********
28/04/2006 11:59 <REP> Adobe
07/06/2006 15:49 <REP> Ahead
27/04/2006 19:11 <REP> GTK
21/04/2006 16:43 <REP> InstallShield
29/05/2006 16:10 <REP> Java
21/04/2006 17:27 <REP> Microsoft Shared
21/04/2006 16:34 <REP> MSSoap
21/04/2006 16:45 <REP> NVIDIA Shared
21/04/2006 17:28 <REP> ODBC
21/04/2006 16:34 <REP> Services
21/04/2006 17:27 <REP> SpeechEngines
13/05/2006 20:36 <REP> SWF Studio
21/04/2006 16:34 <REP> System
23/04/2006 09:31 <REP> SystemRequirementsLab
28/05/2006 19:56 <REP> Teleca Shared
0 fichier(s) 0 octets
17 Rp(s) 192ÿ856ÿ064 octets libres
********** Répertoire de C:\Program Files\Common files **********
28/05/2006 19:56 <REP> Microsoft shared
0 fichier(s) 0 octets
3 Rp(s) 192ÿ856ÿ064 octets libres
Fin du rapport
Marsh Posté le 06-07-2006 à 13:18:48
vas sur ce site http://siri.urz.free.fr/upload
"Lien vers le message du forum où le fichier a été demandé:" colle l'adresse de cette page
"Fichier:" -> colle ce chemin en gras : C:\Documents and Settings\Flo\Application Data\Microsoft\MSN Messenger.dll et clique sur "upload"
quand c'est fait
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir de l'étape 2 à l'étape 11 sans accès à internet.
1/ Télécharge :
- PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippes-le sur ton bureau.
- OiUninstaller http://www.outerinfo.com/OiUninstaller.exe
Mets-le sur ton bureau
- SmitfraudFix version 2.67 (la tienne est périmée) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
2/ démarrer/exécuter, et colle la ligne suivante :
Citation : regsvr32 /u C:\WINDOWS\System32\chkdsk.dll |
Valide par entrée, peu importe le message que tu obtiendras.
Recommence avec :
regsvr32 /u C:\Documents and Settings\Flo\Application Data\Microsoft\MSN Messenger.dll
3/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
Cowabanga
4/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKCU\..\Run: [Jjswji] C:\Documents and Settings\Flo\Mes documents\F?nts\m?hta.exe
O4 - HKCU\..\Run: [Istb] "C:\WINDOWS\ICROSO~1.NET\notepad.exe" -vt yax
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/Yaz [...] refid=1123
O20 - AppInit_DLLs: C:\WINDOWS\System32\chkdsk.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\Documents and Settings\Flo\Application Data\Microsoft\MSN Messenger.dll
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
5/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
Citation : Ouvrir un dossier, n'importe lequel. Aller dans : |
6/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :
C:\Documents and Settings\Flo\Mes documents\F?nts <- le dossier
C:\WINDOWS\ICROSO....NET <- le dossier dont le nom commence par "ICROSO..."
C:\Program Files\Cowabanga <- le dossier
7/ Vide la corbeille.
8/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
9/ double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
10/ Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie d'un trait les lignes de la citation suivante :
Citation : C:\WINDOWS\system32\ddccbbx.dll |
=> clic droit / "copier"
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même.
11/ Dès le redémarrage, supprime : C:\!Killbox <- le dossier
12/ Poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
13/ poste le rapport SmitfraudFix que tu as sauvegardé.
Marsh Posté le 06-07-2006 à 22:53:23
nikel, apparement il n'y a plus rien :
SmitFraudFix v2.68
Rapport fait à 17:55:18,75, 06/07/2006
Executé à partir de C:\Documents and Settings\Flo\Bureau\hf xD\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
---------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:57:28, on 06/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\PROGRA~1\NCTV\bin\dm.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\Belkin\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
E:\jeux\half life\steam\Steam.exe
C:\Documents and Settings\Flo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3F52CCF5-84A6-4F70-A081-82A06402B766} - C:\WINDOWS\System32\mlljk.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/ [...] hcImpl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: gebcddc - gebcddc.dll (file missing)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Download Manager Lite Service (DownloadManagerLite) - NetCableTV - C:\PROGRA~1\NCTV\bin\dm.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
Marsh Posté le 07-07-2006 à 00:36:07
Bonsoir
si tu es toujours là, il reste encore quelque chose (au moins d'après le SmitfraudFix).
Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
O2 - BHO: (no name) - {3F52CCF5-84A6-4F70-A081-82A06402B766} - C:\WINDOWS\System32\mlljk.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O20 - Winlogon Notify: gebcddc - gebcddc.dll (file missing)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
Supprime le SmitfraudFix, une nouvelle version est sortie, télécharge-la ici http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance l'option 2, réponds oui à tout (en mode sans échec). Vérifie après avoir redémarré que l'option 1 ne trouve plus ceci :
Citation : »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix |
-----------------
Supprime le fichier OiUninstaller.exe
Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
Marsh Posté le 07-07-2006 à 10:45:44
Bon j'ai fais ce que tu m'a dis mais il reste les lignes sous SmitfraudFix.
Rapports
=====================================================
SmitfraudFix
SmitFraudFix v2.68b
Rapport fait à 9:35:54,10, 07/07/2006
Executé à partir de C:\Documents and Settings\Flo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
====================================================
D'après Panda il reste des problemes :
Incident Statut Analyse
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.xiti.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.adtech.de/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.atdmt.com/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt[.valueclick.com/]
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Flo\Bureau\hf xD\clean\pskill.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo\Bureau\hf xD\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo\Bureau\SmitfraudFix\Process.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo\Cookies\flo@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo\Mes documents\Mes documents\a trier\SmitfraudFix\Process.exe
Outil indésirable:Application/ServUBased.A No Désinfecté D:\utilitaires\susetup.exe[SERVUDAEMON.EXE]
Adware:Adware/Gator No Désinfecté D:\tryon506\DivXPro511Adware.exe[Gain_Trickler.exe]
Hacktool:HackTool/FXScanner No Désinfecté D:\tryon506\Fx-Scan-rouge.rar[FXScanner3b_setup.exe][data\App\0\FxScanner.exe]
Adware:Adware/IST.ISTBar No Désinfecté D:\clone cd\backups\backup-20041021-062350-868.inf
Adware:Adware/IST.YourSiteBar No Désinfecté D:\clone cd\backups\backup-20041021-062350-259.inf
Outil indésirable:Application/ServUBased.A No Désinfecté D:\Mes fichiers reçus\susetup.exe[SERVUDAEMON.EXE]
Marsh Posté le 08-07-2006 à 16:26:55
bonjour
supprime ces fichiers
C:\Documents and Settings\Flo\Bureau\hf xD\clean <- dossier
C:\Documents and Settings\Flo\Bureau\hf xD\SmitfraudFix <- dossier
C:\Documents and Settings\Flo\Mes documents\Mes documents\a trier\SmitfraudFix <- dossier
D:\utilitaires\susetup.exe
D:\tryon506\DivXPro511Adware.exe
D:\tryon506\Fx-Scan-rouge.rar
D:\clone cd\backups\backup-20041021-062350-868.inf
D:\clone cd\backups\backup-20041021-062350-259.inf
D:\Mes fichiers reçus\susetup.exe
pour les cookies, regarde ici http://perso.numericable.fr/~altsh [...] okies.html histoire d'en finir une bonne fois pour toutes.
Sinon il marche bien l'ordi ? Il faudrait peut etre que tu le mettes à jour, tout comme Java.
Marsh Posté le 08-07-2006 à 17:26:13
voila, tout est fait, merci bcp
oui le pc marche bien, pourquoi ? il ne devrait pas ?
Pour les MAJ, il l'est, enfin ce que je juge necessaire, sont le SP1, et les patch sécurité necessaire.
Marsh Posté le 08-07-2006 à 17:30:15
norion a écrit : oui le pc marche bien, pourquoi ? il ne devrait pas ? |
ha non non non, tant mieux, au contraire
Citation : Pour les MAJ, il l'est, enfin ce que je juge necessaire, sont le SP1, et les patch sécurité necessaire. |
Ok pour le sp1, comme tu préfères... par contre mets à jour Java ici http://www.java.com/fr/download/windows_xpi.jsp
et tu choisis "Windows (Installation hors ligne) (taille du fichier: 18.23 MB))" et tu l'installes
Supprime UNPFFC et Killbox.
désactive ta restauration système :
http://service1.symantec.com/SUPPO [...] 0101856924
Redémarre
Créer un point de restauration système
http://www.vulgarisation-informati [...] ration.php
Marsh Posté le 08-07-2006 à 18:12:24
voila qui est fait, un pc tout propre et tout beau
merci bcp
Marsh Posté le 06-07-2006 à 10:20:15
Bonjour
J'ai bcp de spyware et de trojan, voici les principaux : Trojan.small / Virtumonde / trojan-downloader-zlob / le " your computeur is infected / Issas
Issas, meme malgrés le log de symantec, n'est pas detecté.
Liste des opérations déjà faites :
- SmitfraudFix > rapport + clean en mode sans echec
- passage de Ad ware SE
- passage de Spybot
- passage de A² ( qui els detectent tous mais ne les supprime pas )
- passage de Kasperky, AVG
- CC cleaner
- Ewido
--------------------------------------------------------------------------
Log Hijack
Logfile of HijackThis v1.99.1
Scan saved at 10:21:45, on 06/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Documents and Settings\Flo\Mes documents\F?nts\m?hta.exe
C:\WINDOWS\ICROSO~1.NET\notepad.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\PROGRA~1\Belkin\LOGICI~1\BTSTAC~1.EXE
C:\PROGRA~1\NCTV\bin\dm.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\jeux\half life\steam\Steam.exe
C:\Documents and Settings\Flo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jjswji] C:\Documents and Settings\Flo\Mes documents\F?nts\m?hta.exe
O4 - HKCU\..\Run: [Istb] "C:\WINDOWS\ICROSO~1.NET\notepad.exe" -vt yax
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/ [...] hcImpl.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/Yaz [...] refid=1123
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\chkdsk.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\Documents and Settings\Flo\Application Data\Microsoft\MSN Messenger.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Download Manager Lite Service (DownloadManagerLite) - NetCableTV - C:\PROGRA~1\NCTV\bin\dm.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
------------------------------------------------------------------------------------------------------
Ewido
Report EWIDO
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 23:55:21 05/07/2006
+ Scan result:
C:\WINDOWS\system32\ddccbbx.dll -> Adware.Virtumonde : No action taken.
:mozilla.11:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.12:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.13:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.14:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.76:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Advertising : No action taken.
:mozilla.77:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Advertising : No action taken.
:mozilla.78:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Advertising : No action taken.
:mozilla.25:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Bluestreak : No action taken.
:mozilla.18:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Doubleclick : No action taken.
:mozilla.67:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.68:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.69:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.70:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.85:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Googleadservices : No action taken.
:mozilla.57:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Serving-sys : No action taken.
:mozilla.58:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Serving-sys : No action taken.
:mozilla.59:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Serving-sys : No action taken.
:mozilla.60:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Serving-sys : No action taken.
:mozilla.15:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.16:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.17:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.80:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Tradedoubler : No action taken.
:mozilla.81:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Tradedoubler : No action taken.
:mozilla.20:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Weborama : No action taken.
:mozilla.21:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\default.z25\cookies.txt -> TrackingCookie.Weborama : No action taken.
C:\WINDOWS\system32\1024 -> Trojan.Small : No action taken.
C:\WINDOWS\system32\atmclk.exe -> Trojan.Small : No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll -> Trojan.Small : No action taken.
::Report end
---------------------------------------------------------------------------------------------------------
BIT DEFENDER
BitDefender Online Scanner - Real Time Virus Report
Generated at: Thu, Jul 06, 2006 - 05:13:21
Scan Info
Scanned Files
290927
Infected Files
5
Virus Detected
Trojan.Hacktool.Scan.A
1
Virtool.Fxscanner.B
1
Backdoor.Servudoor.I
2
Application.MBMON.A
1
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.
Voila, pourriez vous m'aider s'il vous plait ?
merci