Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

(Resolu) smitFraudFix

chepioq

Par chepioq
dans Analyses et éradication malwares

 Partager

Messages recommandés

chepioq Extrem Member

chepioq

Posté(e)
Posté(e) (modifié)

bonjour je viens de telecharger smitfraud sur zeb pour voir un peu ce qu'il peut me trouver... je precise que mon ordi fonctionne a merveille pas de ralentissement pas de virus ni rien de rien...je vous soumet donc le rapport qu'il me donne:

 

SmitFraudFix v2.28

 

Rapport fait à 20:56:06,79, 07/04/2006

Executé à partir de C:\Documents and Settings\domi\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\country.exe PRESENT !

C:\kl1.exe PRESENT !

C:\tool1.exe PRESENT !

C:\tool2.exe PRESENT !

C:\tool3.exe PRESENT !

C:\tool4.exe PRESENT !

C:\tool5.exe PRESENT !

C:\toolbar.exe PRESENT !

C:\uniq PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\paytime.exe PRESENT !

C:\Program Files\secure32.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

comment dois-je l'interpreter?

Modifié par chepioq

angelique Devil Member !

angelique

Posté(e)
Posté(e)

tu l'interpretes de cette façon,tu es infecté!!

 

relaces smitfraud en mode sans echec et utilises l'option 2,repond oui!!

 

tu suivras par une procedure preliminaire hijack,tu la connais,je t'ai deja vu ds cette espace et tu posteras ton log.txt hijack pour nos membres sécu qui l'analyseront.

 

Je déplace ton post ds analyse hijack.

chepioq Extrem Member

chepioq

Posté(e)
  • Auteur
Posté(e)

voila j'ai fait l'option deux de smitFrauFix et fais un log hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:37:17, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\Explorer.EXE

D:\Programmes\Alwil Software\Avast4\aswUpdSv.exe

D:\Programmes\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\dllhost.exe

D:\Programmes\ProcessGuard\dcsuserprot.exe

C:\WINDOWS\system32\oodag.exe

D:\Programmes\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Programmes\ProcessGuard\pgaccount.exe

C:\regprot\regprot.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\acer\epm\epm-dm.exe

C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe

C:\Program Files\SpyBlocker Software\Pro\bhs.exe

D:\Programmes\ProcessGuard\procguard.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Programmes\Soft4Ever\looknstop\_looknstop.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\hijackit\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Program Files\SpyBlocker Software\Pro\aproxy.pac

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!1_pgaccount] "D:\Programmes\ProcessGuard\pgaccount.exe"

O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [spyBlockerPro] C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe

O4 - HKLM\..\Run: [blackHoleSurfer] C:\Program Files\SpyBlocker Software\Pro\bhs.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "D:\Programmes\ProcessGuard\procguard.exe" -minimize

O4 - Startup: LooknStop.lnk = D:\Programmes\Soft4Ever\looknstop\_looknstop.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O11 - Options group: [PAC] Automatic Proxy Configuration

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmes\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmes\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - D:\Programmes\ProcessGuard\dcsuserprot.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

 

 

cela me semble propre...mais j'aimerai l'avis d'un specialste...merci

chepioq Extrem Member

chepioq

Posté(e)
  • Auteur
Posté(e)

bonjour je remonte ce post car je viens de refaire un rapport smitfrau et je ne sais pas quoi faire des ligne que j'ai mis en rouge

 

SmitFraudFix v2.28

 

Rapport fait à 18:22:03,52, 09/04/2006

Executé à partir de C:\Documents and Settings\domi\Bureau\Securit‚\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\domi\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

pour tout vous dire je ne sais pas si c'est une infection ou des entrées de registres legitimes...

merci de m'eclairer....

tirol Extrem Member

tirol

Posté(e)
Posté(e)

Salut chepioq,

 

les lignes en rouge listées sont OK.

par contre un scan avec Ewido serait bien

 

Télécharger la version d'évaluation d'Ewido:

http://www.ewido.net/fr/

 

Installer et mettre à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" :

décocher les deux options "Install background guard" et "Install scan via context menu".

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.

Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

 

Redémarrer en mode Sans Échec (au démarrage, tapoter immédiatement la touche F8,

puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur). Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarrer en mode normal.

Refaire un scan Hijackthis, poster le rapport ainsi que le rapport Ewido

 

tirol.

chepioq Extrem Member

chepioq

Posté(e)
  • Auteur
Posté(e)

merci de ta reponse tirol...pour ewido je l'ai deja et je le passe assez souvent ...

je viens de le faire il y a un quart d'heure et il ne m'a rien trouvé...merci de ton aide..

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...