Ordinateur infecté

[bruce lee]

re,

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[kobushi]

Bonjour bruce

 

Desole pour le retard mais j etais en deplacement.

 

Voici le resultat de ce que tu me demandais >>

 

SmitFraudFix v2.117

 

Rapport fait à 17:05:04,75, 12/11/2006

Executé à partir de D:\Documents and Settings\Antony.SN106723760310\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Antony.SN106723760310

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Antony.SN106723760310\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

Cordialement

[bruce lee]

bonjour kobushi,

 

désolé du temps de reponse.

 

demarrer en mode administrateur puis réessaye d'executer Fix_Protocol_zones_ranges.

 

@+ et dis moi ce que ca donne.

[kobushi]

Bonjour a tous et bonjour Bruce

 

desole pour le temps de reponse mais la je suis revenu

 

j ai fait ce que tu m avais demande et en mode admin tout a bien fonctionne

 

je join un log hjt fait en mode normal

 

Logfile of HijackThis v1.99.1

Scan saved at 10:47:59, on 22/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Documents and Settings\Antony.SN106723760310\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

 

 

 

cordialement

[bruce lee]

bonjour kobushi,

 

bizarre

 

telecharge http://download.bleepingcomputer.com/sUBs/...bug-Restore.exe

 

execute le sur ta session. Réexecute Fix_Protocol_zones_ranges et dis moi ce que ca donne

Modifié le 22 novembre 2006 par bruce lee

[kobushi]

Hello a tous

 

et encore un gros merci pour ton aide bruce

 

voila ce que donne la manip que tu m as conseille

 

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Adminis

trators)=1332

 

Please reboot your machine

 

Press any key to exit

 

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

 

J ai ensuite reboot le pc et essaye d excecuter l autre fichier.... toujours la meme chose aucune evolution

 

Pour la suite j ai 2 questions

 

- est ce que je peux effacer ma session ?

- si oui, quelles sont les precautions a prendre pour eviter d effacer des fichiers necessaires au fonctionnement de la machine ?

 

 

merci

 

 

cordialement

[bruce lee]

bonjour kobushi,

 

arf! ca n'a pas fonctionné...

 

telecharge http://download.nai.com/products/mcafee-avert/Fixswen.inf

 

execute Fixswen.inf réexecute ensuite Fix_Protocol_zones_ranges .

 

@+ et dis moi ce que ca donne.

Modifié le 23 novembre 2006 par bruce lee

[kobushi]

Hello Bruce,

 

toujours le meme soucis c'est à dire impossible d'executer ce satané fichier...

 

je t'envoie néanmoins ce qu'a donné fixswen :

 

[Version]

Signature="$CHICAGO$"

 

[DefaultInstall]

AddReg=FixSwen

DelReg=EnableRegTools

 

[FixSwen]

HKCR, "batfile\shell\open\command",,0,"""%1"" %*"

HKCR, "comfile\shell\open\command",,0,"""%1"" %*"

HKCR, "exefile\shell\open\command",,0,"""%1"" %*"

HKCR, "piffile\shell\open\command",,0,"""%1"" %*"

HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""

HKCR, "scrfile\shell\open\command",,0,"""%1"" /S"

HKCR, "scrfile\shell\config\command",,0,"%1"

 

[EnableRegTools]

HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools"

 

 

on y arrivera

 

cordialement

[bruce lee]

bonjour kobushi,

 

on y arrivera

 

Oui, c'est juste une question de temps, continue a etre perseverant

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau,
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

[kobushi]

Bonsoir Bruce et aussi aux autres,

 

comme tu me le demandais voici le resultat :

 

 

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

Scan started at 24/11/2006 20:52:46

 

 

Attempting to delete infected files...

 

Making registry repairs.

 

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

 

 

Cordialement