Infection PC par Smithfraud-C

[Vincenzo]

Oura !!! Panda fonctione... C'est en cours et j'ai choisi l'option scan le poste de travaille. Il en a pour un bon momment. Je supose que le rapport il me l'envera par email. J'en n'ai pour près de 2h (c'est le temps que norton mettait). En fait sur le fenêtre d'erreur, j'avais pas vu que juste sous la barre du titre, il y avait une ligne me disant ceci : qu'il fallait que j'installe activeScan de panda "asinst.cab". J'ai donc cliqué dessus, il la installé et il fonctione. Là il a déjà détecté un fichier espion. Plus tard dans la soirée je vous communiquerai les résultat. ouf !!! Un peu d'espoir...

[Vincenzo]

Voici le rapport de Panda :

 

 

Incident Statut Analyse

 

Adware:adware/securityerror Non désinfecté C:\Documents and Settings\admin1\Favoris\Antivirus Test Online.url

Virus:W32/Torvil.B.worm Désinfecté D:\BIBLIOTHEQUE\PROGRAMME\MULTIMEDIA\2_2_[codec] All Video Codecs for Mediaplayer [svcd, avi, mpeg, mpg, divx](1)\2_2_[codec] All Video Codecs for Mediaplayer [svcd, avi, mpeg, mpg, divx].exe

Virus:Bck/Fildrop.A Désinfecté D:\BIBLIOTHEQUE\PROGRAMME\Z Transit\WinRar 4.1 Pro (with CRACK).exe

Virus:Bck/ServU.D Désinfecté D:\DOSSIERS\EMULE\TRANSIT\CODEC\2_codec.Divx XviD M2V Windows Media Audio V2 Mp3 Ogg WMV MP4 codecs pack (Windows NT-2000-XP.exe

 

Au moins les trois virus sont plus là, mais les deux espion eux semble vouloir établir leur résidence. Comme pour la désinstallation de Antivir, on peux "forcer" ?

[Thanos]

salut Vincenzo,BipBip

 

Bon a part ceci=>Adware:adware/securityerror le plus gros a été éliminé par BipBip et Panda!

 

-Supprime les fichiers/dossiers incriminés :

C:\Documents and Settings\admin1\Favoris\Antivirus Test Online.url =>le fichier

Vide la corbeille et fais un nettoyage avec Easycleaner

Comment fonctionne ton pc à présent?

[ipl_001]

Bonsoir Vincenzo, BipBip, charles ingals, bonsoir à tous,

 

C'est une affaire qui roule !

 

Tout sera bientôt propre !

[Vincenzo]

Oui, le nettoyage avec EasyCleaner est fait, il y avait 147 éléments. Et tout continu de bien fonctionné. En fait c'est le mot "registre" qui fait peur.

 

Oui, Ralf fonctionne comme avant les ennuyes.

 

Je viens de faire une vérification avec Spybot et voilà ce qu'il indique (dommage que lui ne fait pas de rapport... je vais recopier), après une double clik dessus :

 

Réglage utilisateur

HKEY_USERS\S-1-5-21-220523388-1708537768-854245398-1005\Software\Micro...

 

Voilà pour ce soir j'arrêt avant que le marchand de sable ne passe...

En peu de temps avec vous tous, j'ai appris pas mal de choses. Merci !

J'aime assez l'icône de Hijackthis, si je pouvais mettre les bâtons de dynamites sous "smithfraud-c"...

Bonne nuit à vous à vous et à demain pour une diplomatie musclé en vers smithfraud-c.

[Thanos]

Salut vincenzo

 

Tu as fait un scan du pc avec Spybot,si je comprends bien,mais ou as tu lû ceci?:

 

Réglage utilisateur

HKEY_USERS\S-1-5-21-220523388-1708537768-854245398-1005\Software\Micro...

 

Est ce que Spybot a trouvé quelque chose?

 

Il faudra que tu désinstalle Antivir ou Norton:il ne faut conserver qu'un seul antivirus résident.

 

Par contre,on te conseillera quelques utilitaires efficaces pour sécuriser ton pc,si tu veux.

 

Bonne nuit

[Vincenzo]

Bonjour à tous, Salut Charle Ingals,

 

Oui, Antivir je ne l'ai plus dutout.

Ok pour la liste d'utilitaire. Si possible tu pourrais m'indiquer les tutorials (notices) de chaques utilitaire que tu me fera découvrir.

 

Pour Spybot :

- tu lance spybot;

- tu clik sue "Vérifier tout";

- Spybot fait sa vérification qui dure près de 6min;

- au centre de l'écran, se trouve la liste des fichier espion, s'il en trouve biensûr. Disons qu'il en trouve un ou plusieurs;

- vérification terminé;

- tu clik sur "Corriger...";

- à la question de suppression des fichier infecté répondre "Oui";

- tout les fichier corrigé apparaisse avec un gros V remplaçant le petit carré;

- et dans mon cas seul SmithFraud-C conserve le petit carré;

- là j'ai simplement fait un double clik sue la ligne SmithFraud-C;

- en suite, deux ligne sont apparu dessous avec un gros signe attention dans un triangle de la taille des deux lignes.

 

J'espère que mon explication n'est pas trop brouillons.

Pour supprimer smithfraud-c une fois pour toute, dois-je attendre qu'une mise à jour soit de norton ou de spybot puisse le supprimer ? Car il est toujours là et me laisse tranquille pour l'instant.

[Thanos]

salut Vincenzo

 

Je suis un peu étonné que Spybot trouve une occurence dans la base de registre relative à Smitfraud!!

 

Le fix de moe31 ,S!Ri et balltrap34 a dû t'en débarrasser!!

 

Est ce que tu peux,s'il te plait mettre le chemin exact que donne Spybot de cette clé de registre?

 

Le chemin que tu donnes n'est pas complêt:HKEY_USERS\S-1-5-21-220523388-1708537768-854245398-1005\Software\Micro...

 

On va voir ce qu'il y a moyen de faire pour terminer la désinfection

[Vincenzo]

Bonjour Charle,

 

- Pour le fix, tu fais référence à smithfraudfix ? Si oui, cela à très bien fonctionné.

- Pour balltrap34, je sais pas ce que cela est.

- Pour l'info que me donne spybot, j'ai essayé de cliquer dedans pour voir la suite après les trois petits points, mais rien ne se passe de plus.

 

Serait il possible que l'infection soit disparu, mais que smithfraud-c laisse quand même une trace (oserais-je dire au fer rouge) ?

 

Récapitulation:

Jusqu'à présent voici les outils que j'ai téléchargé:

- hijackthis (opérationnelle);

- Antivir (désinstallé);

- EasyCleaner (opérationnelle);

- SmithFraudFix (opérationnelle);

- Panda (opérationnelle);

- Spybot (opérationnelle);

- Norton (opérationnelle);

 

Me faudrait il d'autres utilitaires ?

- Pour Cleanner, j'ai pas su le télécharger. Dans le liens, j'ai pas trouvé le "download".

Oh, minute je vais vite voir avec EasyCleaner ce qu'il trouve pour les clé de registres.

Hey, je commence à devenir un pro... hihi

Me revoici, non il n'y a rien.

[ipl_001]

Bonjour Vincenzo, charles ingals, bonjour à tous,

 

HKEY_USERS\S-1-5-21-220523388-1708537768-854245398-1005\Software\Micro...

Vite un commentaire en passant (merci à charles ingals pour son aide à Vincenzo) : n'oublions pas qu'il y a dans HKEY_USERS, toutes les données qui sont affectées à l'utilisateur qui s'est logué... et ces données vont alors dans HKEY_CURRENT_USER

 

Si Spybot affiche quelque chose pour HKEY_USERS\S-1-5-21-220523388-1708537768-854245398-1005 mais qu'il ne dit rien pour HKCU, c'est sans doute parce qu'il s'agit d'un autre compte utilisateur et pas celui qui s'est loggué ! Il faut que Vincenzo utilise aussi ce compte utilisateur et passe les outils et en particulier SmitfraudFix !

 

- Pour balltrap34, je sais pas ce que cela est.

Il s'agit d'un des créateurs de SmitfraudFix !

S!Ri, moe31 et balltrap34 sont les 3 co-créateurs (sur le forum Français CCM = CommentCaMarche)

 

- hijackthis (opérationnelle);

- Antivir (désinstallé);

- EasyCleaner (opérationnelle);

- SmithFraudFix (opérationnelle);

- Panda (opérationnelle);

- Spybot (opérationnelle);

- Norton (opérationnelle);

Attention qu'il s'agit là d'utilitaires différents (catégories différentes) ! Certains d'entre eux sont à utiliser de manière régulière (SpyBot) et les mettant à jour à chaque utilisation, d'autres ne sont utilisés que lorsque c'est nécessaire (SmitfraudFix), d'autres doivent être actifs en permanence (Norton)... je laisse charles ingals te donner plus de précisions !