Forums Zebulon.fr: (Resolu) smitFraudFix - Forums Zebulon.fr

Aller au contenu

Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

(Resolu) smitFraudFix Noter : -----

#1 L'utilisateur est hors-ligne   chepioq 

  • Extrem Member
  • Groupe : Membres
  • Messages : 706
  • Inscrit(e) : 27-avril 05

Posté 07 avril 2006 - 08:08

bonjour je viens de telecharger smitfraud sur zeb pour voir un peu ce qu'il peut me trouver... je precise que mon ordi fonctionne a merveille pas de ralentissement pas de virus ni rien de rien...je vous soumet donc le rapport qu'il me donne:

SmitFraudFix v2.28

Rapport fait à 20:56:06,79, 07/04/2006
Executé à partir de C:\Documents and Settings\domi\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\country.exe PRESENT !
C:\kl1.exe PRESENT !
C:\tool1.exe PRESENT !
C:\tool2.exe PRESENT !
C:\tool3.exe PRESENT !
C:\tool4.exe PRESENT !
C:\tool5.exe PRESENT !
C:\toolbar.exe PRESENT !
C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\paytime.exe PRESENT !
C:\Program Files\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

comment dois-je l'interpreter?

Ce message a été modifié par chepioq - 09 avril 2006 - 07:40 .

Parler pour ne rien dire et ne rien dire pour parler sont les deux principes majeurs et rigoureux de tous ceux qui feraient mieux de la fermer avant de l’ouvrir. Pierre Dac
Dans la lutte pour la vie, celui qui est à bout de souffle, à bout d'arguments, à bout de moyens et à bout de tout n'est heureusement et par contre pas au bout de ses peine. Pierre Dac
Quand on entend ce que l'on entend et qu'on voit ce que l'on voit on a raison de penser ce que l'on pense. Coluche
0

PUBLICITÉ

  • Annonces Google
Inscrivez-vous au forum gratuitement et profitez de nombreux avantages !

#2 L'utilisateur est hors-ligne   angelique 

  • Devil Member !
  • Groupe : Membres
  • Messages : 12232
  • Inscrit(e) : 08-juillet 04

Posté 07 avril 2006 - 08:12

tu l'interpretes de cette façon,tu es infecté!!

relaces smitfraud en mode sans echec et utilises l'option 2,repond oui!!

tu suivras par une procedure preliminaire hijack,tu la connais,je t'ai deja vu ds cette espace et tu posteras ton log.txt hijack pour nos membres sécu qui l'analyseront.

Je déplace ton post ds analyse hijack.
http://forum.malekal.com/
0

#3 L'utilisateur est hors-ligne   chepioq 

  • Extrem Member
  • Groupe : Membres
  • Messages : 706
  • Inscrit(e) : 27-avril 05

Posté 07 avril 2006 - 08:49

voila j'ai fait l'option deux de smitFrauFix et fais un log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:37:17, on 07/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Alwil Software\Avast4\aswUpdSv.exe
D:\Programmes\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\dllhost.exe
D:\Programmes\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\oodag.exe
D:\Programmes\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmes\ProcessGuard\pgaccount.exe
C:\regprot\regprot.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\acer\epm\epm-dm.exe
C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe
C:\Program Files\SpyBlocker Software\Pro\bhs.exe
D:\Programmes\ProcessGuard\procguard.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Programmes\Soft4Ever\looknstop\_looknstop.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\hijackit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Program Files\SpyBlocker Software\Pro\aproxy.pac
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!1_pgaccount] "D:\Programmes\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [SpyBlockerPro] C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe
O4 - HKLM\..\Run: [BlackHoleSurfer] C:\Program Files\SpyBlocker Software\Pro\bhs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "D:\Programmes\ProcessGuard\procguard.exe" -minimize
O4 - Startup: LooknStop.lnk = D:\Programmes\Soft4Ever\looknstop\_looknstop.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O11 - Options group: [PAC] Automatic Proxy Configuration
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmes\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - D:\Programmes\ProcessGuard\dcsuserprot.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe


cela me semble propre...mais j'aimerai l'avis d'un specialste...merci
Parler pour ne rien dire et ne rien dire pour parler sont les deux principes majeurs et rigoureux de tous ceux qui feraient mieux de la fermer avant de l’ouvrir. Pierre Dac
Dans la lutte pour la vie, celui qui est à bout de souffle, à bout d'arguments, à bout de moyens et à bout de tout n'est heureusement et par contre pas au bout de ses peine. Pierre Dac
Quand on entend ce que l'on entend et qu'on voit ce que l'on voit on a raison de penser ce que l'on pense. Coluche
0

#4 L'utilisateur est hors-ligne   chepioq 

  • Extrem Member
  • Groupe : Membres
  • Messages : 706
  • Inscrit(e) : 27-avril 05

Posté 09 avril 2006 - 05:28

bonjour je remonte ce post car je viens de refaire un rapport smitfrau et je ne sais pas quoi faire des ligne que j'ai mis en rouge

SmitFraudFix v2.28

Rapport fait à 18:22:03,52, 09/04/2006
Executé à partir de C:\Documents and Settings\domi\Bureau\Securit‚\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

pour tout vous dire je ne sais pas si c'est une infection ou des entrées de registres legitimes...
merci de m'eclairer....
Parler pour ne rien dire et ne rien dire pour parler sont les deux principes majeurs et rigoureux de tous ceux qui feraient mieux de la fermer avant de l’ouvrir. Pierre Dac
Dans la lutte pour la vie, celui qui est à bout de souffle, à bout d'arguments, à bout de moyens et à bout de tout n'est heureusement et par contre pas au bout de ses peine. Pierre Dac
Quand on entend ce que l'on entend et qu'on voit ce que l'on voit on a raison de penser ce que l'on pense. Coluche
0

#5 L'utilisateur est hors-ligne   tirol 

  • Extrem Member
  • Groupe : Equipe Sécurité*
  • Messages : 807
  • Inscrit(e) : 01-mai 05

Posté 09 avril 2006 - 05:57

Salut chepioq,

les lignes en rouge listées sont OK.
par contre un scan avec Ewido serait bien

Télécharger la version d'évaluation d'Ewido:
http://www.ewido.net/fr/

Installer et mettre à jour.

Important: Pendant l'installation, sur la page "Additional Options" :
décocher les deux options "Install background guard" et "Install scan via context menu".

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.
Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

Redémarrer en mode Sans Échec (au démarrage, tapoter immédiatement la touche F8,
puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".
Choisir le compte usuel (et non Administrateur). Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer
(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarrer en mode normal.
Refaire un scan Hijackthis, poster le rapport ainsi que le rapport Ewido

tirol.
Image IPB
0

#6 L'utilisateur est hors-ligne   chepioq 

  • Extrem Member
  • Groupe : Membres
  • Messages : 706
  • Inscrit(e) : 27-avril 05

Posté 09 avril 2006 - 06:06

merci de ta reponse tirol...pour ewido je l'ai deja et je le passe assez souvent ...
je viens de le faire il y a un quart d'heure et il ne m'a rien trouvé...merci de ton aide..
Parler pour ne rien dire et ne rien dire pour parler sont les deux principes majeurs et rigoureux de tous ceux qui feraient mieux de la fermer avant de l’ouvrir. Pierre Dac
Dans la lutte pour la vie, celui qui est à bout de souffle, à bout d'arguments, à bout de moyens et à bout de tout n'est heureusement et par contre pas au bout de ses peine. Pierre Dac
Quand on entend ce que l'on entend et qu'on voit ce que l'on voit on a raison de penser ce que l'on pense. Coluche
0

#7 L'utilisateur est hors-ligne   angelique 

  • Devil Member !
  • Groupe : Membres
  • Messages : 12232
  • Inscrit(e) : 08-juillet 04

Posté 09 avril 2006 - 07:10

chepioq,faut pas chercher la bete si elle n'existe pas!!

c'est propre chez toi :P
http://forum.malekal.com/
0

#8 L'utilisateur est hors-ligne   chepioq 

  • Extrem Member
  • Groupe : Membres
  • Messages : 706
  • Inscrit(e) : 27-avril 05

Posté 09 avril 2006 - 07:39

merci angelique...je suis peut-etre un peu parano...mais surtout j'aime bien comprendre...bonne soirée...
Parler pour ne rien dire et ne rien dire pour parler sont les deux principes majeurs et rigoureux de tous ceux qui feraient mieux de la fermer avant de l’ouvrir. Pierre Dac
Dans la lutte pour la vie, celui qui est à bout de souffle, à bout d'arguments, à bout de moyens et à bout de tout n'est heureusement et par contre pas au bout de ses peine. Pierre Dac
Quand on entend ce que l'on entend et qu'on voit ce que l'on voit on a raison de penser ce que l'on pense. Coluche
0
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Similar Topics
  Sujet Commencé par Statistiques Infos sur le dernier message
Sujet ouvert (nouvelles réponses) [Résolu] Seconde étape… charlotine 
  • 11 réponses
  • 204 vues
Sujet ouvert (nouvelles réponses) [Résolu] Alimentation batterie
Plus de charge 		didoumae 
  • 4 réponses
  • 195 vues
Sujet ouvert (nouvelles réponses) [Résolu] Problèmes après une mise à jour Windows caro 
  • 7 réponses
  • 327 vues
Sujet chaud (nouvelles réponses) [Résolu] Souris qui se bloque et PC qui s'éteint tout se
Avec rapport ZHPDiag 		Freddy 16 
  • 19 réponses
  • 355 vues
Sujet ouvert (nouvelles réponses) [Résolu] Page d'accueil des browsers qui change toute seule Pantouflar 
  • 10 réponses
  • 276 vues
Sujet chaud (nouvelles réponses) [Résolu] Plantage Mozilla Jac34 
  • 20 réponses
  • 325 vues
Sujet ouvert (nouvelles réponses) [Résolu] Possible infection ?
À l'aide, SVP ! 		cyrilcvcf 
  • 13 réponses
  • 268 vues
Sujet ouvert (nouvelles réponses) [Résolu] Demande analyse rapport ZHPDiag
Problème de PC qui rédémarre en sortie de veille 		kaede1708 
  • 9 réponses
  • 159 vues
Sujet chaud (nouvelles réponses) [Résolu] Problèmes avec dBpowerAMP
Lenteur et plantages d'explorer 		casimir1961 
  • 26 réponses
  • 427 vues
Sujet chaud (nouvelles réponses) [Résolu] Gros ralentissement suite infection gendarmerie ?
Le PC rame malgré la suppression du problème… 		cekado 
  • 14 réponses
  • 343 vues

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)