Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection smitfraud-c

velpien

Par velpien
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

C'est tout ce que tu trouves dans le fichier Hosts?C'est celui de Spybot?

 

Est ce que tu peux faire ceci?=>

En attendant,peut tu faire analyser ce fichier :

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6070200d7a7ca14424fd0e4f019a7293\update\update.exe

ici=> http://virusscan.jotti.org/ et poste le rapport.

Par ailleurs et dans le soucis de bien nettoyer le pc,fais ca des que tu pourras:

Télécharger la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

Lorsque tu es passé en mode sans échec, relances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Le pare-feu Windows est désactivé mais c'est normal car j'utilise Zone labs.

J'avais oublie :P

velpien Junior Member

velpien

Posté(e)
  • Auteur
Posté(e)

ah oui, pardon, j'avais oublié de signaler....il n'y a pas de update.exe ni de sous-dossier update dans le chemin que tu m'indiques. Uniquement un sous-dossier download et un fichier BIT5.tmp.

 

pour le fichier host, c'est effectivement tout ce qui y figure.

 

 

 

C'est tout ce que tu trouves dans le fichier Hosts?C'est celui de Spybot?

 

Est ce que tu peux faire ceci?=>

 

Par ailleurs et dans le soucis de bien nettoyer le pc,fais ca des que tu pourras:

J'avais oublie :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Je suis un peu étonné,dans ton précédent log hijack ceci figure:

 

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6070200d7a7ca14424fd0e4f019a7293\update\update.exe

 

Est ce que les fichiers sont bien visibles comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

.

Sinon essaie avec l'outil "rechercher " de windows.

 

Ok pour le fichier hosts.

 

N'oublie pas de scanner le pc avec Ewido:efficace et à conserver puisque gratuit(perd certains modules apres 14 jours mais toujours efficace!)

velpien Junior Member

velpien

Posté(e)
  • Auteur
Posté(e)

Bonsoir tout le monde,

 

suite de mes aventures! le rapport ewido :

 

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 20:43:47, 15/12/2005

+ Somme de contrôle: 1A9C2BB8

 

+ Résultats du scan:

 

C:\Documents and Settings\Famille\Cookies\famille@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Par ailleurs, j'ai toujours ces alertes de spybot sur une modification de clé MCUpdate.exe en mcupdate.exe. J'ai demandé à spybot d'accepter la modification clé pour voir. Pas d'effet visible, sinon de nouvelles alertes de spybot en sens inverse.

 

Quant au fichier update.exe à analyser, eh bien....le répertoire S-1-5-18 a tout simplement disparu.

 

 

ah oui, pardon, j'avais oublié de signaler....il n'y a pas de update.exe ni de sous-dossier update dans le chemin que tu m'indiques. Uniquement un sous-dossier download et un fichier BIT5.tmp.

 

pour le fichier host, c'est effectivement tout ce qui y figure.

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonsoir Velpien. Ce fichier est bien lié à McAffee, tu le mets en exclusion dans Spybot

qui doit le prendre pour un parasite car, quelques trojans ciblent ce fichier :

 

mcupdate - mcupdate.exe - Process Information

 

Process File: mcupdate or mcupdate.exe

Process Name: Mcupdate

 

Description:

mcupdate.exe is a process associated with McAfee Internet Security Suite. This process ensures the computer's virus definations are up to date by connectign to McAfee's server on the Internet. This program is important for the stable and secure running of your computer and should not be terminated.

 

Quand à Ewido, il n'a trouvé qu'un misérable cookie :P

velpien Junior Member

velpien

Posté(e)
  • Auteur
Posté(e)

Bonsoir megataupe,

 

 

merci bien.

 

je vais de surprise en surprise cependant, car je n'ai plus accès à Office. N'aurais-je pas trop supprimé (avec easycleaner ou à partir du rapport Hijackthis)?

 

Bonsoir Velpien. Ce fichier est bien lié à McAffee, tu le mets en exclusion dans Spybot

qui doit le prendre pour un parasite car, quelques trojans ciblent ce fichier :

 

mcupdate - mcupdate.exe - Process Information

 

Process File: mcupdate or mcupdate.exe

Process Name: Mcupdate

 

Description:

mcupdate.exe is a process associated with McAfee Internet Security Suite. This process ensures the computer's virus definations are up to date by connectign to McAfee's server on the Internet. This program is important for the stable and secure running of your computer and should not be terminated.

 

Quand à Ewido, il n'a trouvé qu'un misérable cookie :P

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Pour Office, tu peux restaurer cette ligne que tu as fixé dans HijackThis :

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

Quand à Easy Cleaner, il faut regarder dans la sauvegarde.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut méga,velpien.

 

Que veux tu dire quand tu dis que tu n'as plus accès à Office?

Je t'ai fait supprimer cette ligne dans ton rapport hijackthis=>

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Pour complêter les propos de mégataupe=>

Ce qui signifie que Office ne se lance plus au démarrage,mais tu peux tres bien le restaurer:

 

-Soit en passant par les sauvegardes de hijackthis=>démarrer hijackthis=>"Open the Misc Tools Section=>

Backup=>tu coche la case qui correspond à l'entrée citée plus haut=>tu cliques sur Restore.

 

-Soit en passant par Msconfig,et en cochant la case qui correspond à Office dans la section "Démarrage".

 

-En ce qui concerne McAfee update,te voilà fixé (un faux positif de Spybot en quelque sorte).

 

-Pour le fichier update.exe tu dis que le répertoire S-1-5-18 a tout simplement disparu(étonnant qu'il apparaisse sur ton rapport!)

donc n'en parlons plus!

 

-Tu peux te débarrasser du fichier batch que je t'ai demandé de créer si il est encore sur le pc,ainsi que le rapport généré qui se trouve ici=>C:\RegKey.txt

 

-Ewido n'a rien trouvé,tant mieux :P

 

Comment fonctionne le pc à présent?

 

@+

Modifié par charles ingals
velpien Junior Member

velpien

Posté(e)
  • Auteur
Posté(e)

Bonjour Charles Ingals,

 

Le pc a retrouvé un fonctionnement d'internet tout à fait normal et le centre de sécurité Windows est redevenu discret. Les manip que tu m'as demandées ont été incontestablement bénéfiques!

 

restent les problèmes apparus :

- l'impossibilité de faire des mises à jour de mc afee (je vais réinstaller, ça rentrera peut-être dans l'ordre)

- les problèmes avec office, c'est à dire l'impossibilité d'accéder à Word, Excel, Publisher et Microsoft outlook. L'ouverture d'un document de ce type entraîne le déclenchement de windows installer puis l'interruption avec un message comme quoi il ne trouve pas un fichier et qu'il faut insérer le CD.

 

Les restaurations d'osa.exe au démarrage et la restauration des éléments nettoyés avec easycleaner ne changent rien.

 

au fait, Smitfraud est-il connu pour désactiver les anti spyware? je dis cela parce que j'ai constaté que la case "enable download protection" de spywareguard était automatiquement décochée même après l'avoir recochée. Et ce n'est plus le cas depuis la suppression de smitfraud.

 

bonne journée

 

 

salut méga,velpien.

 

Que veux tu dire quand tu dis que tu n'as plus accès à Office?

Je t'ai fait supprimer cette ligne dans ton rapport hijackthis=>

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Pour complêter les propos de mégataupe=>

Ce qui signifie que Office ne se lance plus au démarrage,mais tu peux tres bien le restaurer:

 

-Soit en passant par les sauvegardes de hijackthis=>démarrer hijackthis=>"Open the Misc Tools Section=>

Backup=>tu coche la case qui correspond à l'entrée citée plus haut=>tu cliques sur Restore.

 

-Soit en passant par Msconfig,et en cochant la case qui correspond à Office dans la section "Démarrage".

 

-En ce qui concerne McAfee update,te voilà fixé (un faux positif de Spybot en quelque sorte).

 

-Pour le fichier update.exe tu dis que le répertoire S-1-5-18 a tout simplement disparu(étonnant qu'il apparaisse sur ton rapport!)

donc n'en parlons plus!

 

-Tu peux te débarrasser du fichier batch que je t'ai demandé de créer si il est encore sur le pc,ainsi que le rapport généré qui se trouve ici=>C:\RegKey.txt

 

-Ewido n'a rien trouvé,tant mieux :P

 

Comment fonctionne le pc à présent?

 

@+

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut velpien

 

-Pour ce problème:" l'impossibilité de faire des mises à jour de mc afee",oui une réinstallation devrais régler ce problème.

les problèmes avec office, c'est à dire l'impossibilité d'accéder à Word, Excel, Publisher et Microsoft outlook.

Etonnant problème!On fait systématiquement fixer la ligne 04 (lorsque présente)dans les rapports hijackthis qui nous sont soumis,mais même apres nettoyage avec EasyCleaner;je n'ai jamais vu ce genre de soucis(on fais fixer cette ligne et d'autres pour optimiser le pc et accélérer le boot).Il est possible qu'un fichier ait été endommagé suite à l'infection par smitfraud.J'ai eu le même problème pour Messenger une fois car une dll avait été désenregistrée=>windows installer s'ouvrait à chaque fois que je voulais utiliser le logiciel.

 

-Des infos sur l'infection que tu as éliminé:Francette=>

http://www.secuser.com/alertes/2003/francette.htm

Cette infection utilisant le port TCP 135 de ton pc pour s'installer;il y a deux choses que tu dois faire:

 

-Utiliser la comande suivante: netstat=>tapes sur les touches Windows+R,une fenêtre s'ouvre,tu tapes cmd.Dans la fenêtre qui vient d'apparaitre:tu tapes netstat et tu poste ici le résultat de ce qui s'affiche.Ou tu peux utiliser un petit logiciel tres utile:

CurrPorts qui montre la liste de tous les ports TCP et UDP actuellement ouverts. =>

http://www.nirsoft.net/utils/cports.html

 

-Faire les mises à jour avec windowsupdate.

 

Quelques infos sur SMitfraud ici: http://www.futura-sciences.com/news-alerte...-fouet_6460.php

et là:

http://www.pandasoftware.com/virus_info/en...t&idvirus=77495

 

@+

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...