Infection SmitFraud sous Windows 2000

[Thanos]

salut cehor

 

Je regarde tes rapports et te dis ce qu'il en est. Tu as bien bossé car l'infection a manifestement disparue!

[Thanos]

Refais un dernier scan en ligne Panda pour voir si rien ne subsiste.

 

On a encore un service à éliminer comme ceci >

 

-Rend toi sur cette page afin de télécharger le fichier Fix.reg > http://www.sendspace.com/file/ydub58

pour cela, clique sur le lien en bas de page > Download Link: fix.reg

 

Double clique sur le fichier : un message te demandera d'accepter la fusion avec le registre, accepte!

 

Comment fonctionne ton pc?

[cehor]

Pour l'instant le PC tourne.

 

Je poste le rapport Panda

 

 

Incident Statut Analyse

 

Adware:adware/ucontrol No Désinfecté Registre Windows

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\admin\Bureau\SDFix.exe[sDFix\apps\Process.exe]

Adware:Adware/Ucontrol No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\Program Files\Fichiers communs\WhenU\UControlScanAndRemove.ocx

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\SDFix\apps\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\SmitfraudFix.zip[smitfraudFix/Process.exe]

Spyware:Spyware/New.net No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[a1.exe]

Adware:Adware/WebBuying No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[web2.exe]

Adware:Adware/TTC No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[a3.exe]

Adware:Adware/DeluxeComunications No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[a4.exe]

Adware:Adware/DeluxeComunications No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[win5.exe]

Adware:Adware/Ucmore No Désinfecté C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\bund1\ClientBundle1.exe[a6.exe]

 

 

J'ai refait des analyses avec AVG AS et AVG Antivirus ainsi que SpyBot

AVG antivirus n'a rien trouvé

 

Je poste le rapport SpyBot

 

 

--- Report generated: 2007-05-14 20:09 ---

 

Smitfraud-C.CoreService: Réglages (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\core

 

Et le rapport AVG AS

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:01:59 13/05/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\admin\Bureau\WinPFind3u\MovedFiles\WINNT\system32\drivers\core.sys -> Rootkit.Agent.eq : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

J'ai également appliqué le fix.reg.

 

 

Est-ce que mon PC est guéri ?

Ou dois-je persévérer ?

 

Merci pour le compliment mais je n'ai fait que suivre les instructions.

 

Bonne soirée

[Thanos]

salut cehor

 

Très bien!! le rapport de scan ne montre rien de mauvais! (les fichiers trouvés sont en quarantaine et on va les léiminer à la fin).

 

Spybot a trouvé un reste du service éliminé > core

Est ce que tu as bien cliqué sur "Corriger les problèmes." à la fin du scan ? Si ce n'est pas fait, relance le scan avec Spybot et n'oublie pas de le faire afin d'éliminer la clé de registre incriminée.

 

J'aimerai stp que tu essaie de faire ceci >

 

Passe par Démarrer > Exécuer et tapes cmd puis clique sur [OK] > une fenêtre noire doit s'ouvrir : est ce le cas ?

Modifié le 14 mai 2007 par charles ingals

[cehor]

Spybot a corrigé le problème et éliminer la clé de registre.

 

J'ai essayé la fonction cmd mais une boîte apparaît avec le message :

 

"Le fichier 'cmd' (ou un de ses composants) est introuvable. Vérifier que le chemin et le nom de fichier sont corrects, et que toutes les bibliothèques requises sont disponibles."

[Thanos]

Ah! tu es bien passé par Démarrer > Exécuter et tu as tapé cmd ??

 

Stp rend toi sur cette page afin de télécharger le fichier seek.bat > http://www.sendspace.com/file/igba26

pour cela, clique sur le lien en bas de page > Download Link: seek.bat

 

Double clique sur le fichier : une fenêtre va s'ouvrir et un scan rapide va se faire > à la fin, un fichier texte va s'ouvrir.

Poste le contenu stp .

 

 

Ok pour Spybot

[cehor]

Le message est identique : Fichier introuvable.

 

Je viens de réaliser : mon PC est une récup d'entreprise, donc avec une configuration réseau LAN. Ça change probablement quelque chose, non ?

 

Est-ce que cela explique le message ? Ou y a-t-il une autre anomalie ?

 

Merci pour toute votre aide

[Thanos]

salut cehor

 

Je viens de réaliser : mon PC est une récup d'entreprise, donc avec une configuration réseau LAN. Ça change probablement quelque chose, non ?

Non, ca ne change rien si ce n'est que l'administrateur aura pu emettre une restriction afin de ne pas rendre accessibles les outils système. Ceci dit, le fait que le rapport de seek.bat ne donne rien signifie que le fichier en question est manquant!

regarde une dernière fois si tu ne trouve pas ce fichier > C:\WINNT\system32\cmd.exe

 

J'aimerai aussi que tu fasses ceci stp >

 

Stp rend toi sur cette page afin de télécharger le fichier find.bat > http://www.sendspace.com/file/udw42i

pour cela, clique sur le lien en bas de page > Download Link: find.bat

 

Double clique sur le fichier et poste le rapport stp

Modifié le 15 mai 2007 par charles ingals

[cehor]

J'ai trouvé le fichier mais dans le répertoire C:\WINNT\system32\dllcache\cmd.exe.

En double-cliquant dessus, j'ai effectivement une fenêtre d'invite de commande qui s'affiche.

 

J'ai téléchargé et exécuté le fichier find.bat mais le résultat est Fichier introuvable.

[Thanos]

ok! tu vas faire ceci alors >

 

Fais un clic droit sur le fichier nommé cmd.exe dans le dossier C:\WINNT\system32\dllcache et choisis l'option copier

 

Ouvre le dossier C:\WINNT\system32 à présent et fait un clic droit dans un endroit vide de la fenêtre > choisis coller dans le menu déroulant.

 

A présent une copie du fichier cmd.exe se trouve dans le dossier system32.

 

Repasse par Démarrer > Exécuter et tapes cmd puis tape sur la touche [entrée].

Tu dois voir la fenêtre s'ouvrir.

 

Dis moi si c'est bon stp.