infection smitfraud-c toolbar888

styx · le 11 septembre 2007

Bonjour Bul,

Toutes mes excuses pour le retard apporté a tes questions ...

Gros problème avec le PC de la maison qui est "tombé en carafe" comme on dit

chez nous (problème disque dur vraisemblablement).

1. Le rapport HijackThis est bon !

2. Pour le problème de restriction des fonctions Exécuter et Arrêter l' ordinateur.

Tu cliques sur Démarrer > Poste de travail ou l'Explorateur Windows, ouvre le dossier

C:\WINDOWS\, lance l'éditeur de registre en allant double-cliquer sur son fichier exécutable regedit.exe

tu ouvres les clés ...

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Dans le volet de droite, tu supprimes la valeur NoClose pour la fonction Arrêter l' ordinateur et tu supprimes NoRun pour la fonction Exécuter.

Eventuellement, tu peux aussi réparer avec Zeb Restore ...

http://telechargement.zebulon.fr/233-zeb-restore.html

qui traite beaucoup de restrictions.

3.

as-tu un prog pour les torrents qui ne sois pas porteur de virus ou autre chose ?

Non

En revanche, je peux te dire que ...

L' adware lop.com peut s'installer à ton insu sur le PC lors du téléchargement ou de l'installation des logiciels suivants :

Sponsors MSN plus !

BitDownload

BitGrabber

NetPumper

BitRoll

TorrentQ

Torrent101, etc ...

Bul · le 13 septembre 2007

Bonsoir/bonjour Bul

Comment se comporte ton PC de l' autre côté de l' Atlantique (sauf erreur) ?

Bul · le 13 septembre 2007

Bonjour Styx, je suis content de voir que ton pc s'est relevé de la carafe (joke)

Pour ce qui est de mon menu démarrer, tout est OK. mais ce qui est de l'internet c'est autre choses.

toujours des pubs a ne plus finir et il y a toujours 3 genre de démarrage lors du démarrage(icones qui disparait et réaparait 3 fois de suite)

crois-tu qu'il y a encore de quoi a faire avec ca?

En passant je suis du Saguenay au Québec donc tu ne t'es pas trompé cousin

salutation a toi

styx · le 15 septembre 2007

Salut Bul

Fermes toutes les applications en cours, puis télécharge, ToolsCleaner! sur ton Bureau.

[*] Double-clique sur ToolsCleaner.exe > clique sur Extract sans changer la destination initiale.

[*] Ouvre le Poste de Travail > ouvre le Lecteur C:\

[*] Ouvre le dossier ToolsCleaner.

[*] Double-clique sur ToolsCleaner2.bat et suis les directives.

[*] Fais un copier/coller du rapport ; il se trouve dans C:\TCleaner.txt

[*] Note : ton bureau va disparaitre ; c'est normal.

Si il n'apparait pas a la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire de Tâches.

Puis rends-toi à l'onglet "Processus".

Cliques en haut à gauche sur fichiers et choisis "Exécuter"

Tapes explorer.exe et valide. Cela fera re-apparaitre le bureau.

*****

Ensuite, ... recommence cela :

Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1) …

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

Dézippe le dossier ; double-clique sur GenProc.bat … et poste le contenu

du rapport qui s'ouvre (que tu découvres une procédure ou pas !).

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Bul · le 16 septembre 2007

Bonjour Styx j'ai fait ce que tu m'a dis, voici le 1er rapport:

********ToolsCleaner2 (A.Rothstein)********

Debut le 2007-09-16 a 8:41:36,60

***************************************

-Navilog = Trouve!

-Navilog = Suppression effectuee!

-Avenger = Trouve!

- (C:) Avenger = Suppression effectuee!

Programme(s) supprime(s) avec succes!

***************************************

Fin le 2007-09-16 a 8:42:54,42

** Module de recherche complementaire ** (Beta Test 1)

Merci d'avoir utilise ToolsCleaner2

Et le second:

Rapport GenProc 0.71 [2] effectué le 2007-09-16 à 8:51:12,65 - SystemRoot = C:\WINDOWS

# Etape 1/ Télécharge :

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.microsoft.com/technet/prodtechn...c.mspx?mfr=true (choisis ta session courante "Bul") *****

# Etape 2/

* Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton "Remove Vundo"

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique combofix.exe.

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :

- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/th.../HiJackThis.exe ;

- Le contenu du rapport situé dans C:\vundofix.txt ;

- Le contenu du rapport situé dans C:\Combofix.txt ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Dois-je faire la procédure inscrit ci-haut?

styx · le 17 septembre 2007

Bonjour/Bonsoir Bul

Dois-je faire la procédure inscrit ci-haut ?

Oui.

Sans oublier de poster les 3 rapports, une fois la procédure achevée ...

Bul · le 21 septembre 2007

Je suis de retour, je t'envoie le scan le nouveau scan de tool cleaner2:

********ToolsCleaner2 (A.Rothstein)********

Debut le 2007-09-20 a 23:21:51,32

***************************************

-VundoFix.exe = Trouve!

- (B) Vundofix.exe = Suppression effectuee!

-ComboFix.exe = Trouve!

- (B) ComboFix.exe = Suppression effectuee!

Programme(s) supprime(s) avec succes!

***************************************

Fin le 2007-09-20 a 23:22:07,81

** Module de recherche complementaire ** (Beta Test 1)

Merci d'avoir utilise ToolsCleaner2

Bul · le 21 septembre 2007

Suivi du rapport combo:

ComboFix 07-09-20.1 - "Bul" 2007-09-20 23:58:52.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.515 [GMT -4:00]

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\d.exe

C:\WINDOWS\cookies.ini

C:\WINDOWS\system32\drivers\core.cache.dsk

C:\WINDOWS\system32\drivers\core.sys

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_CORE

-------\LEGACY_NTMLSVC

-------\core

-------\NtmlSvc

((((((((((((((((((((((((((((( Fichiers créés 2007-08-21 to 2007-09-21 ))))))))))))))))))))))))))))))))))))

.

2007-09-20 23:56 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-20 23:50 <REP> d-------- C:\VundoFix Backups

2007-09-17 14:23 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll

2007-09-17 14:23 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll

2007-09-17 14:22 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll

2007-09-17 14:22 739,840 --a------ C:\WINDOWS\system32\DivX.dll

2007-09-16 08:40 <REP> d-------- C:\ToolsCleaner2

2007-09-15 11:18 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2007-09-15 11:17 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2007-09-15 11:17 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2007-09-15 11:17 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2007-09-11 19:14 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2007-09-08 00:38 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-08-31 13:02 <REP> d-------- C:\Rustbfix

2007-08-27 23:24 <REP> d-------- C:\Program Files\CCleaner

2007-08-27 22:31 1,262 --a------ C:\WINDOWS\system32\tmp.reg

2007-08-27 22:11 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-08-27 22:11 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-08-27 21:45 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP

2007-08-22 14:52 <REP> d-------- C:\DOCUME~1\Bul\APPLIC~1\Lavasoft

2007-08-22 14:51 <REP> d-------- C:\Program Files\Lavasoft

2007-08-22 14:24 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-20 10:36 --------- d-------- C:\Program Files\DivX

2007-09-05 13:09 --------- d-------- C:\Program Files\mIRC

2007-08-19 17:11 --------- d-------- C:\DOCUME~1\Bul\APPLIC~1\Help

2007-08-15 18:33 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys

2007-08-06 19:38 --------- d-------- C:\Program Files\Fichiers communs\AVSMedia

2007-08-06 19:38 --------- d-------- C:\Program Files\AVS4YOU

2007-07-28 13:16 --------- d-------- C:\Program Files\VideoConversion(en)

2007-07-28 13:09 --------- d-------- C:\Program Files\PIC Corporation

2007-07-28 11:15 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU

2007-07-28 10:33 --------- d-------- C:\DOCUME~1\Bul\APPLIC~1\AVS4YOU

2007-07-24 13:09 --------- d-------- C:\Program Files\CDex_170b2

2007-07-24 12:35 --------- d-------- C:\Program Files\Yahoo!

2007-07-22 23:17 --------- d-------- C:\Program Files\illiminable

2007-07-22 23:16 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo

2007-07-22 21:26 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-07-22 21:26 --------- d-------- C:\Program Files\RCA

2007-04-11 15:17 157 --a------ C:\Program Files\INSTALL.LOG

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-16 23:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 22:58]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Assistant Internet.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Assistant Internet.lnk

backup=C:\WINDOWS\pss\Assistant Internet.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ymetray.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ymetray.lnk

backup=C:\WINDOWS\pss\ymetray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]

C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSA.exe]

"C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StandardInstall]

"C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"usnjsvc"=3 (0x3)

"idsvc"=3 (0x3)

"gusvc"=3 (0x3)

"AutoExNT"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs

R3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SYS

S3 SNDO963;Mega Pixel Camera (8101 SXGA);C:\WINDOWS\system32\DRIVERS\sndo963.sys

S4 AutoExNT;AutoExNT;C:\WINDOWS\system32\AutoExNT.Exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-08-17 21:16:35 C:\WINDOWS\Tasks\1-Click Maintenance.job"

.

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-21 00:06:30

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-09-21 0:08:36 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-21 00:08

.

--- E O F ---

Et le complémentaire est le.....