[Résolu]Rapports Smitfraudfix

[Eléa29]

Voici le nouveau rapport (ça s'améliore petit à petit!):

 

KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT

Monday, August 27, 2007 9:06:11 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2

(Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 27/08/2007

Enregistrements dans la base antivirus Kaspersky : 368749

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivantestandard

Analyser les archivesvrai

Analyser les bases de messagerievrai

 

Cible de l'analysePoste de travail

C:\

D:\

E:\

F:\

G:\

H:\

 

Statistiques de l'analyse

Total d'objets analysés118238

Nombre de virus trouvés2

Nombre d'objets infectés5 / 0

Nombre d'objets suspects0

Durée de l'analyse01:09:02

 

Nom de l'objet infectéNom du virusDernière action

C:\Documents and Settings\All Users\Application

Data\Microsoft\Crypto\DSS\MachineKeys\adeb89ff2937a9e80129150f89620a82_21f8bcf5-ac23-4e46-ada4-2424c297ab3f

L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application

Data\Microsoft\Crypto\RSA\MachineKeys\d953eda3e26304d35e06e3f99844845b_21f8bcf5-ac23-4e46-ada4-2424c297ab3f

L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr

Watson\user.dmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application

Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application

Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5Z2R6HUP\COUNTER21[1].0TM Infecté :

Trojan-Downloader.VBS.Agent.p ignoré

 

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\EV8Z21WJ\COUNTER21[1].0TM Infecté :

Trojan-Downloader.VBS.Agent.p ignoré

 

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\KTIZUN09\COUNTER21[1].0TM Infecté :

Trojan-Downloader.VBS.Agent.p ignoré

 

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\KTIZUN09\COUNTER21[2].0TM Infecté :

Trojan-Downloader.VBS.Agent.p ignoré

 

C:\WINDOWS\system32\drivers\etc\hosts.20070822-194448.backup Infecté :

Trojan.Win32.Qhost.mg ignoré

[bruce lee]

Re,

 

Supprime ce qui est en gras:

 

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5Z2R6HUP\ COUNTER21[1].0TM<== le fichier

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\EV8Z21WJ\ COUNTER21[1].0TM<== le fichier

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\KTIZUN09\ COUNTER21[1].0TM<== le fichier

C:\Documents and Settings\Aurélio\Local Settings\Temp\Temporary Internet

Files\Content.IE5\KTIZUN09\ COUNTER21[2].0TM<== le fichier

C:\WINDOWS\system32\drivers\etc\ hosts.20070822-194448.backup<== le fichier.

 

Vide le contenu de ta corbeille. Refais un scan en ligne avec Kaspersky puis poste le rapport.

[Eléa29]

Salut

 

Ca y est le scan est propre, il n'y a plus de virus:

 

Tuesday, August 28, 2007 6:00:13 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 28/08/2007

Enregistrements dans la base antivirus Kaspersky : 370116

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

C:\

D:\

E:\

F:\

G:\

H:\

 

Statistiques de l'analyse

Total d'objets analysés 121528

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:33:21

 

 

Dans la foulée j'ai refais une analyse avec AVG, je te poste le rapport si ça peut t'aider (car j'ai encore des problèmes avec mon ordi...):

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:06:41 28/08/2007

 

+ Résultat de l'analyse:

 

 

 

HKU\S-1-5-21-2563178676-210138750-1191884140-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Aucune action entreprise.

HKU\S-1-5-21-2563178676-210138750-1191884140-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : Aucune action entreprise.

HKU\S-1-5-21-2563178676-210138750-1191884140-1008\Software\New.net -> Adware.NewDotNet : Aucune action entreprise.

HKU\S-1-5-21-2563178676-210138750-1191884140-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{59879FA4-4790-461C-A1CC-4EC4DE4CA483} -> Adware.RXToolbar : Aucune action entreprise.

HKU\S-1-5-21-2563178676-210138750-1191884140-1008\Software\GlobalCS -> Dialer.Generic : Aucune action entreprise.

C:\Documents and Settings\David\Cookies\david@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

C:\Documents and Settings\David\Cookies\david@com[1].txt -> TrackingCookie.Com : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Aucune action entreprise.

C:\Documents and Settings\Aurélio\Cookies\aurélio@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\David\Cookies\david@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.

C:\Documents and Settings\David\Cookies\david@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Aurélio\Cookies\aurélio@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\David\Cookies\david@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\Léa\Cookies\léa@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.

 

 

Fin du rapport

 

(J'ai enregistré le rapport avant d'appliquer les actions recommandées aux fichiers)

[bruce lee]

Re,

 

(J'ai enregistré le rapport avant d'appliquer les actions recommandées aux fichiers)

 

Tu as donc quand même mit le tout en quarantaine ?

[Eléa29]

Re,

Tu as donc quand même mit le tout en quarantaine ?

 

Oui, hormis les cookies qui étaient infectés que j'ai supprimé comme c'était recommandé. (Mais ça n'a rien réparé!)

[bruce lee]

Re,

 

C'est clean As-tu encore des problemes avec ton PC ?

[Eléa29]

Oui j'ai toujours les mêmes problèmes: mon écran est bleu, je ne peux pas acceder à mon panneau de configuration, et il y a un triangle jaune dans ma barre de taches qui me dit que je suis infestée, et qui me renvoie sur un site pour télécharger winantivirus. Après recherche j'ai cru comprendre qu'il s'agissait d'une infection smitfraud, j'ai tenté de m'en débarasser mais les problèmes sont toujours là!

[bruce lee]

Re,

 

Supprime totalement smitfraudfix de ton PC.

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

Modifié le 29 août 2007 par bruce lee

[Eléa29]

Salut

 

Je te remercie de ta patience!

Voici le rapport:

 

SmitFraudFix v2.217

 

Rapport fait à 15:47:19,17, 29/08/2007

Executé à partir de C:\Documents and Settings\L‚a\Mes documents\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Controle Parental\bin\optproxy.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\PROGRA~1\CONTRO~1\bin\optgui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\WinAvXX.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\printer.exe PRESENT !

C:\WINDOWS\system32\WinAvXX.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\L‚a

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\L‚a\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\LA4770~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LA4770~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: SiS191 1000/100/10 Ethernet Device - Miniport d'ordonnancement de paquets

DNS Server Search Order: 195.5.219.1

 

Description: 802.11 USB Wireless LAN Adapter #3 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: 802.11 USB Wireless LAN Adapter #3 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: 802.11 USB Wireless LAN Adapter #3 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{56FB3065-C733-42EC-AD77-1E6919084FF3}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7ACB7E66-AFC6-46CB-870E-91B802EFB769}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9E7099F1-7AA9-42F9-A4AA-14BFD42B4FB9}: DhcpNameServer=195.5.219.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D6218C05-B80B-4C49-BB1D-316207C1B036}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{56FB3065-C733-42EC-AD77-1E6919084FF3}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{9E7099F1-7AA9-42F9-A4AA-14BFD42B4FB9}: DhcpNameServer=195.5.219.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{D6218C05-B80B-4C49-BB1D-316207C1B036}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{56FB3065-C733-42EC-AD77-1E6919084FF3}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{7ACB7E66-AFC6-46CB-870E-91B802EFB769}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{9E7099F1-7AA9-42F9-A4AA-14BFD42B4FB9}: DhcpNameServer=195.5.219.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D6218C05-B80B-4C49-BB1D-316207C1B036}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{56FB3065-C733-42EC-AD77-1E6919084FF3}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{7ACB7E66-AFC6-46CB-870E-91B802EFB769}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{9E7099F1-7AA9-42F9-A4AA-14BFD42B4FB9}: DhcpNameServer=195.5.219.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{D6218C05-B80B-4C49-BB1D-316207C1B036}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bruce lee]

re,

 

* Redemarrer l'ordinateur en mode sans echec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

* Double cliquer sur smitfraudfix.exe

* Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et post le nouveau rapport