au secours

[fabienfabien2]

Bonjour à tous!

Je suis confronté à untrojan.spy.html.smitfraud.c (inscrit sur le message d'erreur).

Bien entendu avg et lavasoft ne m'aident en rien.

J'ai téléchargé hijackthis mais je ne sais pas quoi en faire.

Aprés des heures de recherches je m'en remets à votre compétence

Voici mon log

Merci d'avance

Logfile of HijackThis v1.99.1

Scan saved at 02:10:02, on 06/30/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\shnlog.exe

C:\WINDOWS\system32\msole32.exe

C:\Program Files\Iomega HotBurn\Autolaunch.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\intel32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\intmon.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\dwwin.exe

C:\Documents and Settings\Propriétaire\Bureau\hijac\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpE10C.tmp

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn\Autolaunch.exe"

O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [spySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe

O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: style2 - C:\WINDOWS\q240455_disk.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

 

le problème se double de rapports d'erreurs incessants d'IE.

[Zonk]

http://forum.zebulon.fr/index.php?showtopi...57&hl=smitfraud

Bienvenue fabienfabien2 sur Zeb!!......si parfois ca semble trop coriace,attends les spécialistes!..............

un lien qui resemble étrangement à ton bobo...bonne chance!

Modifié le 30 juin 2005 par Zonk

[flax_34]

Salut déja tu peut fixer les lignes( en mode sans echec):

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1

 

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpE10C.tmp

 

et tu télécharge en m'aitent bien a jour Spybot - Search & Destroy

 

XoftSpy

 

Xp-Antispy

 

Et si tu veut éviter les cookies et toutes les autre mer.. prend FireFox plustot que IE

 

 

A++

Modifié le 30 juin 2005 par flax_34

[Invité Stonangel]

Bonjour, installe Hijackthis correctement sous C:\ ou C:\Program files mais pas sur le bureau ni dans un répertoire temp.

 

1 Assure toi d'avoir accès à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer"

.

 

2 Télécharge les outils suivants:

 

*PocketKillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

*DelDomain.inf

http://www.mvps.org/winhelp2002/restricted.htm

 

*EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Hoster

http://www.funkytoad.com/download/hoster.zip

 

*Smitfraud.reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

 

IMPORTANT

Tu dois effectuer toutes les corrections HORS CONNEXION. Imprime cette page

 

-3-Désinstalle via Ajout/suppression des programmes le(s) programme(s) suivant(s):

 

Security IGuard

Virtual Maid

Search Maid

Spywarevanisher

SpySpotter< réputation douteuse

 

-4-Clic droit sur

ce fichier > Enregistrer la cible sous, et tu télécharges ce fichier sur ton bureau.

Une fois téléchargé, double-clique sur smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.

Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg

 

-5-Lance PocketKillBox, coche la case "Delete on reboot". Ne pas fermer le programme.

Fais Démarrer ->Exécuter, tape notepad, un fichier bloc-notes s'ouvre

Ensuite tu fais Ctrl-A pour sélectionner tout le texte suivant , Ctrl-C pour le copier dans le presse papier.

 

 

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\WINDOWS\system32\hpA708.tmp

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmon.exe

 

Sur PocketKillBox-->File-->Paste from Clipboard,tu cliques ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"

 

6 Redémarre en mode sans échec (F8)

 

7 Lance Hijackthis, scan, et coche les lignes ci-dessous:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpE10C.tmp

O4 - HKLM\..\Run: [spySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe

O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O20 - Winlogon Notify: style2 - C:\WINDOWS\q240455_disk.dll

 

8 Ferme toutes les fenêtres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

9 Supprime les fichiers et dossiers suivants s'ils sont présents.

 

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Windows\System32\Log Files

C:\Program Files\Security IGuard

C:\Program Files\Spywarevanisher

C:\WINDOWS\system32\msmsgs.exe

C:\WINDOWS\system32\hpE10C.tmp

C:\PROGRA~1\SPYSPO~1

C:\WINDOWS\system32\msmsgs.exe

C:\Program Files\PSGuard

C:\WINDOWS\q240455_disk.dll

 

Recache les fichiers système.

 

Vide la corbeille.

 

10 Redémarre normalement

 

11 Ouvre Hoster, et clique sur "Restore Original Hosts" ---> "OK"

Quitte le programme.

 

12 Fais un clic droit le fichier Del_Domains.inf -->Installer

 

13 Lance EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose.

 

-14-Redémarre et poste un nouveau rapport Hijackthis effectué en mode sans échec.

 

Fais analyser ce C:\WINDOWS\system32\intel32.exe fichier ici:

http://virusscan.jotti.org/

Colle le résultat dans ton prochain message.

 

Méthodologie: queruak

[fabienfabien2]

Bonjour, installe Hijackthis correctement sous C:\ ou C:\Program files mais pas sur le bureau ni dans un répertoire temp.

...

---édition ipl_001

[ipl_001]

Bonsoir fabienfabien2, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Il est inutile de reproduire le post précédent, je l'ai déjà lu !

Pour répondre, clique sur le bouton qui est entre "Flash" et "Options"