rapport HijackThis

[regis56]

Bonsoir kirua2150 et les autres !

 

Ton rapport ne va pas du tout !

Avec l'option 1 il a repérer les fichiers ! et là il ne veut pas les supprimer ? bizarre !

 

As tu fais ceci correctement ?

 

Utilisation ----- option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport plus un rapport hijackthis sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

As tu fais l'option 2 deux fois de suite ?

 

Sinon pourrait tu refaire l'option 1 pour voir si les fichiers sont toujours là ?

 

A plus pour la suite !

[kirua2150]

Bonsoir,

Pour te répondre Regis, oui j'ai bien fais le procédé que tu as décris (je viens de le refaire encore et memeplussieurs fois de suite) et j'obtiens encore le meme rapport SmitFraudFix...

[kirua2150]

up

[Jack_Burton]

Bonjour a tous, bonjour kirua2150,

 

Tu n as pas fait l étape 2 avec Smitfraud.

Bon reprenons depuis le début :

 

1/ Dans un premier temps:

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip

(étape a passer puisque tu as déja smitfraud sur ton systeme)

 

2/ Décompresse le, double-clique et choisis l'option 1

Poste le rapport généré.

 

3/ Redémarre en mode sans échec

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout

Redemarre et donne le nouveau rapport.

 

5/ Complète par un scan HijackThis en mode normal que tu posteras aussi.

Modifié le 9 avril 2006 par Jack_Burton

[kirua2150]

bonjour jack,

je t'assure j'ai bien fais les 4 premières étapes décrites. Je viens de les refaire à l'instant.

 

>>>2/ Décompresse le, double-clique et choisis l'option 1

>>>Poste le rapport généré.

 

SmitFraudFix v2.27

 

Rapport fait à 15:59:31,15, 09/04/2006

Executé à partir de C:\Documents and Settings\THALES\Bureau\securite\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\THALES\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\THALES\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

>>>4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout

>>>Redemarre et donne le nouveau rapport.

J'obtiens le meme rapport et il me demande seulement si je veux nettoyer le registre (pas d'autres

questions)

SmitFraudFix v2.27

 

Rapport fait à 16:13:22,26, 09/04/2006

Executé à partir de C:\Documents and Settings\THALES\Bureau\securite\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[regis56]

Bonsoir tout le monde !

 

Bon je pense que tu as du faire l'étape deux fois ce qui écrasé le premier rapport !

 

Peut tu refaire l'option 1 et je suis désolé de te faire faire autant de manip mais c'est pour etre sur que les fichiers sont partis !

 

Si ils sont encore là on les cherchera et on les supprimera manuellement !

 

A plus !

[kirua2150]

Ne sois pas désollé regis c'est déja super sympa de m'aider à régler mes problèmes.

Le souci c'est que l'ordi infecté n'est pas chez moi donc je peux pas faire les manips aussi souvent que je le voudrais.

Sinon j'ai une question : est-ce que je peux supprmier manuellement le fichier "browseui.dll" infecté et le remplacer par un fichier "propre", trouvable sur le net je suppose?

[regis56]

Bonjour kirua2150 !

 

Merci pour ta perséverance c'est une qualité rare

 

Sinon j'ai une question : est-ce que je peux supprmier manuellement le fichier "browseui.dll" infecté et le remplacer par un fichier "propre", trouvable sur le net je suppose?

 

browseui.dll ne fait pas partie des fichiers infevté n'essai pas de le supprimer !

 

Suit les instructions cela devrait suffir on prendra le temps qu'il faut

 

A plus pour le rapport 1 de smitfraudfix !

[kirua2150]

Bonjour regis,

Etant au boulot je n'peux pas faire l'option1 tout de suite mais je connais déja le resultat : je vais obtenir le meme rapport que j'ai posté précedemment. C'est dailleurs ce que j'ai fais hier.

Ou alors ya quelquechose qui m'échappe...

[regis56]

Re

 

Attention il y a une différence entre l'otption 1 qui detecte les fichiers et l'option 2 qui nettoie les fichiers !

 

La première fois l'option 1 a très bien marchée puisqu'il avait trouvé les fichiers !

 

L'option 2 n'a rien donné car je pense que tu l'as fais deux fois de suite avant de poster le rapport qui a été écrasé du coup !

 

L'option 1 on sait qu'elle marche donc si il ne trouve rien en option 1 cela veut dire que les fichiers ont été supprimé et que le rapport a bien été écrasé

Si l'option 1 retrouve les fichers c'est que Smitfraudfix rencontre un problème on supprimera alors les fichiers manuellement.

 

J'espère que cela t'éclaire.

 

A plus !