INFECTION SPYFALCON

muzopassy · le 24 mars 2006

Bonjour,

Quelqu'un peut m'aider, ci-dessous mon rapport Hijackthis

Merci d'avance

Logfile of HijackThis v1.99.1

Scan saved at 08:10:54, on 24/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe

E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

E:\PROGRA~1\Iomega\System32\AppServices.exe

E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

D:\Program Files\Norton AntiVirus\navapsvc.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

E:\Program Files\Common Files\AOL\ACS\AOLDial.exe

E:\Program Files\QuickTime\qttask.exe

E:\Program Files\Common Files\Symantec Shared\ccApp.exe

E:\Program Files\Real\RealPlayer\RealPlay.exe

E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Program Files\Iomega HotBurn Pro\Autolaunch.exe

E:\Program Files\MessengerPlus! 3\MsgPlus.exe

E:\WINDOWS\System32\rundll32.exe

E:\WINDOWS\System32\ctfmon.exe

E:\Program Files\Messenger\msmsgs.exe

E:\Program Files\AOL 9.0a\aoltray.exe

E:\Program Files\AOL Compagnon\companion.exe

D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

E:\Program Files\MSN Messenger\msnmsgr.exe

E:\WINDOWS\System32\wuauclt.exe

E:\Program Files\AOL 9.0a\waol.exe

E:\Program Files\AOL 9.0a\shellmon.exe

E:\Program Files\Common Files\Aol\aoltpspd.exe

E:\WINDOWS\RACLE~1\dvdplay.exe

E:\WINDOWS\system32\??stem\l?gonui.exe

E:\WINDOWS\System32\nvctrl.exe

E:\WINDOWS\System32\mssearchnet.exe

E:\Program Files\Internet Explorer\iexplore.exe

e:\progra~1\intern~1\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\WINDOWS\TEMP\win354.tmp.exe

D:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nubrjuupzjcxx.net/_JS/KBpbB_vUO...vHxcMowpdmH.cgi

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - E:\WINDOWS\System32\hpE594.tmp

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [AOLSAV] E:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] E:\Program Files\Common Files\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "E:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "d:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] E:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [cy4S] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0¨4W

}ïÁzî[8E:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "d:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [eDonkey2000] "D:\Program Files\eDonkey2000\edonkey2000.exe" -t

O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM\..\Run: [KINDFLAGFORGRIM] E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag\Soap Mail.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe

O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [irhs] "E:\WINDOWS\RACLE~1\dvdplay.exe" -vt yax

O4 - HKCU\..\Run: [Hmdk] E:\WINDOWS\system32\??stem\l?gonui.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = E:\Program Files\AOL 9.0a\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = E:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: AOL Companion.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://E:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by New.Net

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O17 - HKLM\System\CCS\Services\Tcpip\..\{DCC2B50A-0267-42A9-BE57-E25E39E47F9E}: NameServer = 205.188.146.145

O20 - Winlogon Notify: winbjt32 - E:\WINDOWS\SYSTEM32\winbjt32.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - E:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - E:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

tornado · le 24 mars 2006

Salut muzopassy,

Ton log est très infecté... smitfraud ( spyfalcon étant une des ses variantes), New.net, Lop (tu as sûrement installé messengerplus avec les sponsors) et haxdoor

On va s'occuper en premier lieu de spyfalcon, à l'aide d'un outil spécial :

Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip

Double clique sur smitfraudfix.cmd

Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport sur le forum

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

Bonne chance

Modifié le 24 mars 2006 par tornado

Sévérian · le 24 mars 2006

Bonjour,

je me glisse pour signaler que parfois (il ne faut pas me demander pourquoi...) Smitfraudfix ne permet pas de faire dégager spyfalcon, dans ce cas là cet outil fonctionne :

Utiliser : http://www.spyware-removal-guideline.com/spyfalcon-removal

Manual SpyFalcon removal

* Download smitRem.exe to desktop (Credits: noahdfear).

* Launch smitRem.exe.

* Click Start

* Confirm box "All files have been extracted" by pressing OK

* Download to desktop FixSpyFalcon.reg (Credits: http://www.bleepingcomputer.com).

* It is recommended to print these instructions before you proceed.

* Launch downloaded file FixSpyFalcon.reg.

* Choose "yes" when asked "Are you sure you want to add the information to the registry".

* Now reboot into safe mode

* Go to Control Panel (Start -> Settings -> Control Panel). Choose Add or remove programs. Find SpyFalcon and click Remove.

* Delete folder C:\Program Files\SpyFalcon\

* Delete file C:\Windows\system32\dxmpp.dll (dangerous program not-virus:Hoax.Win32.Renos.bf). Note: to delete dxmpp.dll file login as Administrator (Do not restart the computer. Press Log Out and choose Administrator.)

* Locate smitRem folder on desktop and run RunThis.bat file to start clean SpyFalcon infection.

* After smitRem has finished a file named smitfiles.txt should appear in c:/ directory. If SpyFalcon was removed successfully, file content should say that.

* Reboot the machine into NORMAL MODE

* Now SpyFalcon should be gone

Par ailleurs, j'ai comme l'impression que en termes de sécu, tout ce qui est présent c'est Morton...

Il serait peut être judicieux d'installer un pare-feu, une protection antispy et de vérifier si l'antivirus est à jour.

Concernant lop et new Net, pas d'inquiétude, normalement Spybot les virera sans difficulté (voir les deux sujets les concernant dans la rubrique "quelques infections typiques"

cia

tornado · le 24 mars 2006

Salut sévérian,

je me glisse pour signaler que parfois (il ne faut pas me demander pourquoi...) Smitfraudfix ne permet pas de faire dégager spyfalcon, dans ce cas là cet outil fonctionne :

Utiliser : http://www.spyware-removal-guideline.com/spyfalcon-removal

Manual SpyFalcon removal

* Download smitRem.exe to desktop (Credits: noahdfear).

* Launch smitRem.exe.

* Click Start

* Confirm box "All files have been extracted" by pressing OK

* Download to desktop FixSpyFalcon.reg (Credits: http://www.bleepingcomputer.com).

* It is recommended to print these instructions before you proceed.

* Launch downloaded file FixSpyFalcon.reg.

* Choose "yes" when asked "Are you sure you want to add the information to the registry".

* Now reboot into safe mode

* Go to Control Panel (Start -> Settings -> Control Panel). Choose Add or remove programs. Find SpyFalcon and click Remove.

* Delete folder C:\Program Files\SpyFalcon\

* Delete file C:\Windows\system32\dxmpp.dll (dangerous program not-virus:Hoax.Win32.Renos.bf). Note: to delete dxmpp.dll file login as Administrator (Do not restart the computer. Press Log Out and choose Administrator.)

* Locate smitRem folder on desktop and run RunThis.bat file to start clean SpyFalcon infection.

* After smitRem has finished a file named smitfiles.txt should appear in c:/ directory. If SpyFalcon was removed successfully, file content should say that.

* Reboot the machine into NORMAL MODE

* Now SpyFalcon should be gone

Smitfraudfix a été récemment mis à jour pour éradiquer Spyfalcon... on utilisait cette méthode le temps que S!Ri (l'un des créateur du tool) effectue des modifs du fix. Pour plus d'infos sur les màj du fix, jette un coup d'oeil sur cette discussion entre les créateurs sur CCM --> http://www.commentcamarche.net/forum/affic...ophijack-avgold

Par ailleurs, j'ai comme l'impression que en termes de sécu, tout ce qui est présent c'est Morton...

Il serait peut être judicieux d'installer un pare-feu, une protection antispy et de vérifier si l'antivirus est à jour.

Il a bien un firewall :

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

Ce n'est pas le top du top en matière d'efficacité mais bon... Sur zeb'sécu, on fait sécuriser le pc en fin de désinfection...

Concernant lop et new Net, pas d'inquiétude, normalement Spybot les virera sans difficulté (voir les deux sujets les concernant dans la rubrique "quelques infections typiques"

Il n'y a qu'un méthode pour se débarasser de Lop (voir article de Jack Burton). Spybot n'en est pas capable...

Pour New.net, spybot peut fonctionner mais laisse des traces... --> méthode lourde également.

Voilà, A+

Modifié le 24 mars 2006 par tornado

Sévérian · le 24 mars 2006

Re,

Smitfraudfix a été récemment mis à jour pour éradiquer Spyfalcon... on utilisait cette méthode le temps que S!Ri (l'un des créateur du tool) effectue des modifs du fix. Pour plus d'infos sur les màj du fix, jette un coup d'oeil sur cette discussion entre les créateurs sur CCM --> http://www.commentcamarche.net/forum/affic...ophijack-avgold

Bon, ben, merci, je vais réactualiser mes fiches...

Il a bien un firewall :

je crois que je dois changer mes lunettes...

Il n'y a qu'un méthode pour se débarasser de Lop (voir article de Jack Burton). Spybot n'en est pas capable...

et encore , je sais pas pourquoi, j'ai mélangé avec autre chose et donc surestimé SSD... Il faut décidément que je révise mes classiques!

Pour New.net, spybot peut fonctionner mais laisse des traces... --> méthode lourde également.

Là, je suis moyennement d'accord, j'ai récemment viré New.Net sur la machine d'un ami (en même temps que son prog de pire 2 pire) juste avec les logs que je lui ai installé (SSD, Adaware, Ewido...)

cia

muzopassy · le 24 mars 2006

Merci pour ton aide Tornado,

ci-dessous le résultat

SmitFraudFix v2.25

Rapport fait à 21:26:28,90 le 24/03/2006

Executé à partir de E:\Documents and Settings\pascal.ORDI001\Desktop\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32

E:\WINDOWS\system32\dfrgsrv.exe PRESENT !

E:\WINDOWS\system32\hp????.tmp PRESENT !

E:\WINDOWS\system32\ld????.tmp PRESENT !

E:\WINDOWS\system32\mssearchnet.exe PRESENT !

E:\WINDOWS\system32\msvol.tlb PRESENT !

E:\WINDOWS\system32\ncompat.tlb PRESENT !

E:\WINDOWS\system32\nvctrl.exe PRESENT !

E:\WINDOWS\system32\ot.ico PRESENT !

E:\WINDOWS\system32\ts.ico PRESENT !

E:\WINDOWS\system32\1024\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Documents and Settings\pascal.ORDI001\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

E:\Documents and Settings\pascal.ORDI001\Favorites\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="E:\WINDOWS\System32\ginuerep.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="E:\WINDOWS\System32\ginuerep.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Dis moi quoi faire ensuite.

Merci encore

Salut muzopassy,

Ton log est très infecté... smitfraud ( spyfalcon étant une des ses variantes), New.net, Lop (tu as sûrement installé messengerplus avec les sponsors) et haxdoor

On va s'occuper en premier lieu de spyfalcon, à l'aide d'un outil spécial :

Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip

Double clique sur smitfraudfix.cmd

Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport sur le forum

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

Bonne chance

bibi26 · le 24 mars 2006

Bonjour tornado et muzopassy,

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Redémarrer en mode normal, faire un nouveau rapport smitfraud (option 1) et un rapport hijackthis et poster les rapports sur le forum !

À bientot !

Modifié le 24 mars 2006 par bibi26

muzopassy · le 25 mars 2006

Merci à toi Bibi26,

Ci-dessous les rapports

SmitFraudFix v2.25

Rapport fait à 8:59:48,19 le 25/03/2006

Executé à partir de E:\Documents and Settings\pascal.ORDI001\Desktop\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Documents and Settings\pascal.ORDI001\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 09:00:52, on 25/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\explorer.exe