[résolu]trojan smitfraud

[phil69]

Ce fameux trojan smitfraud m'a rattrappé...

pourrais je avoir la méthode d'éradication ?

je joins le log...

Un grand merci

Philippe

 

Logfile of HijackThis v1.99.1

Scan saved at 17:18:06, on 15/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [selfBurn] C:\AcerSW\SelfBurn\SelfBurn.exe

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe

O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[angelique]

pour hijack qlq1 va s'occuper de toi,sinon pour Ce trojan-spy.html.smitfraud.c,c'est en dessous)

désactives la restau system,

affiches les fichiers cachés et fais une recherche de wp.exe et de wp.bmp

et tu supprimes ça.

puis regedit,edition,rechercher,donc wp.exe,decoches mot entier seulement,qd à droite de la fenetre,une ligne contenant wp.exe est trouvé tu la jartes.

puis F3 pour les valeurs suivantes.

idem opération avec wp.bmp

ensuite qd y'a plus ces valeurs,

tu vas à:

HKCU/software/microsoft/windows/current version/policies puis tu cliques sur lr dossier system pour le selectionner.

A droite de la fenetre,tu recherche la valeur NoDispBackgroundPage.

Si elle n'éxiste pas,tu crees une nouvelle valeur dword et tu renommes Nouvelle valeur#1 en NoDispBackgroundPage,tu doubles cliques dessus et ds la fenetre qui s'ouvre tu mets 0

tu reboots ,tu t'attribues ton fond d'écran.

un tour chez www.secuser.com,outils en ligne,et scan antivirus

tu recommences avec adaware,spybot et ton av à jour,les scans en MSE

et tu repostes un hijack

[Invité Stonangel]

Bonsoir, télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

 

Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

[Thanos]

bienvenue , phil69

-télécharge cw<shredder ici=>http://www.intermute.com/spysubtract/cwshr...r_download.html

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D

 

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

 

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

 

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe=>

 

variante de smitfraud(Troj/FakeAle-C).

 

O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home

 

O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s

 

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe=>autre variante de smitfraud

 

O4 - HKLM\..\Run: [selfBurn] C:\AcerSW\SelfBurn\SelfBurn.exe=>celui là tu

 

connais?

 

par la suite assure toi que les fichiers incriminés ne soit plus là en allant dans: C:\WINDOWS\system32:

 

-intel32.exe

 

-svcnt.exe

 

et vire les manuellement si ils sont présents.

 

désinstalle"PSGuard" dans Program Files .

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

=>nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

=>Vider la corbeille

 

=>scanne le pc avec antivir

 

=>scanne le pc avec cwshredder

 

=>Exécute EasyCleaner Inutiles et Registre seulement. Ne touche pas à la fonction

 

doublon.

 

redémarre et poste un nouveau log hijack.

Dis moi , Stonangel qu'est ce que tu penses de mon "analyse", objectivement

 

je continue à m'entraîner, ton conseil me serait précieux.Merci

 

il est vrai que je m'attaque à forte partie avec smitfraud

 

sans l'utilitaire de Siri ca doit être biens plus long!

Modifié le 15 juillet 2005 par charles ingals

[phil69]

Bonsoir, télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

 

Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

535711[/snapback]

 

Déjà merci pour ton aide:

voici le 1er rapport:

SmitFraudFix v0.7

 

Rapport fait à 22:23:36,64 le 15/07/2005

Executé à partir de C:\Program Files\Fichiers communs\System\MAPI\1036\nt

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\screen.html PRESENT !

C:\WINDOWS\uninstIU.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\hookdump.exe PRESENT !

C:\WINDOWS\system32\intel32.exe PRESENT !

C:\WINDOWS\system32\oleadm.dll PRESENT !

C:\WINDOWS\system32\oleadm32.dll PRESENT !

C:\WINDOWS\system32\wp.bmp PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

C:\Program Files\AntivirusGold\ PRESENT !

C:\Program Files\PSGuard\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

voici le second rapport:

SmitFraudFix v0.7

 

Rapport fait à 22:26:55,85 le 15/07/2005

Executé à partir de C:\Documents and Settings\Philippe

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

Processus arreté: AntivirusGold.exe

Processus arreté: bsw.exe

Processus arreté: helper.exe

Processus arreté: hookdump.exe

Processus arreté: intel32.exe

Processus arreté: intmon.exe

Processus arreté: intmonp.exe

Processus arreté: msmsgs.exe

Processus arreté: msole32.exe

Processus arreté: ole32vbs.exe

Processus arreté: ongi.exe

Processus arreté: popuper.exe

Processus arreté: r.exe

Processus arreté: runsrv32.exe

Processus arreté: shnlog.exe

Processus arreté: spoolsrv32.exe

Processus arreté: uninst.exe

Processus arreté: uninstIU.exe

Processus arreté: w8673492.exe

Processus arreté: winnook.exe

Processus arreté: winstall.exe

Processus arreté: wp.exe

Processus arreté: zloader3.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\screen.html supprimé

C:\WINDOWS\uninstIU.exe supprimé

C:\WINDOWS\system32\hookdump.exe supprimé

C:\WINDOWS\system32\intel32.exe supprimé

C:\WINDOWS\system32\oleadm.dll supprimé

C:\WINDOWS\system32\oleadm32.dll supprimé

C:\WINDOWS\system32\wp.bmp supprimé

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

voici le log hijack :

Logfile of HijackThis v1.99.1

Scan saved at 22:28:17, on 15/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\system32\MTC.dll (file missing)

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [selfBurn] C:\AcerSW\SelfBurn\SelfBurn.exe

O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

en te remerciant,

philippe

[Invité Stonangel]

Re, je regarde ton nouveau rapport, réponse dans un moment

[Thanos]

re tout le monde

 

ca y est j'ai ma réponse stonangel: vu le nombre de processus en jeu , je suis loin du

 

compte

 

une petite info phil69 ,a propos de Xoftspy pour te faire une idée,(pas tres rassurant!)

Note on XoftSpy: XoftSpy was listed on this page because of concerns with false positives (1, 2, 3, 4), questionable license terms, and the use of aggressive, deceptive advertising (1, 2), including exploitation of the name "spybot" by affiliates. Earlier versions of XoftSpy were also Ad-aware knockoffs. (There was clone of XoftSpy named SpyBurn, but that application is no longer available.)

Over the past few months, XoftSpy has taken aggressive steps to reign in its affiliates (who were primarily responsible for the unsavory advertising), revised its license text, and released a new version of XoftSpy (version 4.0) that addresses our concerns with false positves. Given these changes we can no longer regard XoftSpy as "rogue/suspect" anti-spyware.

[ipl_001]

Bonsoir phil69, angelique, Stonangel, charles ingals, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Champion ce SmitfraudFix !

 

 

Stonangel, il y a aussi AVGold... regarde ta BAL

[ipl_001]

Angelique, Stonangel, charles ingals,

 

Je trouve personnellement dommage qu'il y ait 3 réponses concurrentes qui soient proposées !

 

C'est très désorientant pour phil69 !

 

Lorsqu'il y a des procédures qui ont montré leur efficacité, pourquoi chercher des solutions plus longues ? Pourquoi faire des expériences aux dépens de phil69 ?

[ipl_001]

Bonsoir charles ingals,

...

Dis moi , Stonangel qu'est ce que tu penses de mon "analyse", objectivement

 

je continue à m'entraîner, ton conseil me serait précieux.Merci

 

il est vrai que je m'attaque à forte partie avec smitfraud  

 

sans l'utilitaire de Siri ca doit être biens plus long!

Laissons Stonangel répondre à phil69 (c'est bien lui qui a posé le problème) et je te répondrai !

 

 

 

Stonangel s'est déconnecté du forum et m'a demandé de répondre... je prends la suite !... quelques instants

 

---édition : Okay ! Stonangel est de retour pour ce post !