Smitfraud et Highjackthis

[Manosolo]

Bonjour bonjour!

 

Je crois avoir moi aussi succombé à Smitfraud:

un écran noir avec de la pub et un lien vers PCGuard (cliquable) en guise de fond d'ecran, et la fonction changer le fond d'ecran qui a disparu de mes paramètres d'affichage.

J'ai lu tous les excellents conseils dans le forum (merci Stonangel ), je ne trouve plus de trace de wp.bmp ou autre pcguard.exe, mais j'ai tjrs cet affreux écran noir, et mon onglet d'affichage qui manque...

 

Pouvez-vous m'aider?

Merci d'avance!

 

Je paste le log the Highjackthis à tout hasard...merci bcp d'avance!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:31:40, on 13/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\WINNT\system32\LVComS.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINNT\explorer.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINNT\system32\winvbie.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {11311111-1551-1661-1771-000000000000} - http://www.wearehosters.com/v411/dropper.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123336748031

O21 - SSODL: Default Web Namespace - {BB4D6119-0120-1A20-EBA1-0870006D2EA4} - C:\WINNT\System32\uinc64.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Intranet Service (IntranetService) - Unknown owner - intranet.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Modifié le 13 août 2005 par Manosolo

[Invité Stonangel]

Bonjour et bienvenue sur Zeb' Sécu, pour ton fond d'écran:

 

Démarrer > panneau de configuration > affichage

clic sur l'onglet bureau

clic sur Personnalisation du bureau

clic sur l'onglet Web

supprime tout ce qui se trouve ici, sauf "Ma page d'accueil" qui doit rester décochée

une fois fait, ça doit être comme sur cette image:

http://get.yourfile.net/ie52977.gif

 

Ouvre le bloc note et copie colle le texte suivant:

 

-------------------------------------------------

 

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktopChanges"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispAppearancePage"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispBackgroundPage"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"Wallpaper"=-

 

---------------------------------------------------------

 

Enregistre le sur ton bureau, Nom du fichier: fix.reg, Type: Tous les fichiers

Douvle clique sur fix.reg et accepte de Fusionner. L'opération terminée, mets fix.reg dans la corbeille

 

De ce temps je regarde ton rapport

 

Est-ce que tu as utilisé le fix de S!Ri?

Modifié le 13 août 2005 par Stonangel

[Manosolo]

En fait (je suis sous w2k), je n'ai pas cet onglet en effet...je n'ai que

"ecran de veille"

"effets"

"paramètres"

 

(enfin il est possible aussi que je sois blonde et que j'ai regardé au mauvais endroit^^)

 

merci d'avance pour ton temps et ton aide!

[Invité Stonangel]

Re, télécharge le fix de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

Redémarre et communique le nouveau rapport

 

-----------------------------------------------------------------------------------------

 

S'il ne fonctionne pas télécharge Smitrem:

http://www.spywareedge.net/tools/smitRem.zip

Dézippe le sur le Bureau

 

Télécharge EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

 

Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

 

Intranet Service (IntranetService)

 

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de intranet.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Ouvre Smitrem

Double clique sur RunThis.bat

Lance le nettoyage. Ecran et icônes vont apparaître et réapparaître.

Cela peut durer un certain temp

 

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

 

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINNT\system32\winvbie.dll

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {11311111-1551-1661-1771-000000000000} - http://www.wearehosters.com/v411/dropper.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123336748031

O21 - SSODL: Default Web Namespace - {BB4D6119-0120-1A20-EBA1-0870006D2EA4} - C:\WINNT\System32\uinc64.dll

 

O23 - Service: Intranet Service (IntranetService) - Unknown owner - intranet.exe (file missing)

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\WINNT\system32\winvbie.dll

C:\WINNT\web\< le contenu du dossier

C:\WINNT\System32\uinc64.dll

intranet.exe

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

[ipl_001]

Bonjour Manosolo, Stonangel, Thomson, bonjour à tous,

 

Oui, elle est bizarre cette O2 avec double GUID !

[Manosolo]

Pfiuh!!

la classe!!!!! plus de vilain écran noir, et mes onglets d'affichage sont de retour!

 

la classe internationale, Stonangel !!

je suis épatée!

(comment vous faites pour être si bon? )

 

 

en tout cas, super, merci beaucoup beaucoup beaucoup!

merci, vraiment! la classe!

 

PS:

- en effet, S!Ri n'a pas marché, j'ai donc executé smitrem

- C:\WINNT\System32\uinc64.dll ne pouvait être effacé en mode sans echec (en cours d'utilisation ?!?), mais a pu être effacé après redemarrage normal

 

PS2 voici le nouveau rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:50:20, on 13/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\WINNT\system32\LVComS.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINNT\explorer.exe

C:\PROGRA~1\Logitech\Video\AlbumDB2.exe

C:\PROGRA~1\Logitech\Video\FxSvr2.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

merci merci merci merci merci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci mercimerci merci merci merci

[Invité Stonangel]

Re, ton rapport est propre. quelques conseils de sécurité pour terminer:

 

Quelques conseils de sécurité pour terminer :

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

.

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Tu dois également installer les outils suivants:

 

-Un pare-feu

Kerio

Zone Alarm

 

-SpywareBlaster:

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

-Ad-awareSE

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

-SpyBot-Search & Destroy

http://spybot.safer-networking.de/fr/download/index.html

Son tutohttp://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

-ZebProtect

http://www.zebulon.fr/articles/zebprotect.php

http://telechargement.zebulon.fr/123.html

 

Bon courage et bon surf!!!

 

Auteur: queruak

 

 

Modifié le 13 août 2005 par Stonangel

[Manosolo]

oh c'est génial je suis super contente!

 

(nan mais j'essayais de m'en débarrasser genre depuis hier soir ^__^)

 

 

j'ai presque installé tous les pgr de tes (excellents) conseils, mais j'ai chopé smitfraud bêtement sur un site de réservation tout à fait normal d'un hôtel à Turin, je n'avais jms eu ça...on n'est jms vraiment à l'abri apparemment...

enfin, je sais maintenant où venir pour mes pb de sécurité!

 

merci encore, et bonne journée

[ipl_001]

Rebonjour Manosolo,

 

Je me joins à toi pour féliciter Stonangel !

 

on n'est jms vraiment à l'abri apparemment...

On ne peux pas se fier seulement au nom du site mais par contre, un surf prudent est nécessaire, en plus de l'installation (et de l'entretien) des quelques programmes de protection qui t'ont été indiqués !