| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Steerpike
Nouveau
Inscrit le: 05 Avr 2006
Messages: 4
|
 Posté le: 05 Avr 2006 16:13 Sujet du message: Help ! infection Spysheriff&Smitfraud... |
|
|
... et quelques autres encore non détectés, s'il faut en croire Panda et !
Bon, pour faire les choses dans l'ordre : bonjour.
Mon problème est en soi assez simple et étant une bille en informatique, j'aurais besoin d'un peu d'aide. 
J'espère que les liens qui suivront et les analyses correspondront à ce que vous demandiez. En tout cas merci d'avance.
(au fait, smitfraud est un logiciel et un spyware ???)
Les forums c'est une première pour moi et je trouve le principe assez génial !
et merci d'avance (!!!!) si jamais vous pouvez me "sauver" ! 
Pour info : je suis sous Windows XP Pro, SP1.
Rapport Smitfraud option 1 : http://cjoint.com/?efsebopthA
Rapport Smitfraud option 2 : http://cjoint.com/?efsga8gzei
Rapport de scan Panda : http://cjoint.com/?efshcwsFIV
log hijackthis : http://cjoint.com/?efshygb1VO |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 05 Avr 2006 21:10 Sujet du message: |
|
|
Bonsoir & bienvenue,
Déjà pour répondre à ta question sur la nature de Smitfraud, il s'agit d'un parasite à l'origine, mais il n'est qu'un leurre d'un organisme dont le but est de faire acheter un faux logiciel de sécurité (rogue) répertorié comme des Desktop Hijacks (détournement du bureau en bon français). Juste pour la petite histoire, il s'agit d'une variante de Win32.Puper.
| Mc Afee a écrit: | Smitfraud est, en réalité, une famille connue de parasites dédiés au phishing (vol de données personnelles bancaires, essentiellement). Le parasite qui vous attaque vous fait croire que vous êtes attaqué par SmitFraud (l'écran bleu - il joue sur la notoriété de SmitFraud) et vous suggère d'utiliser n'importe quel anti-spywares mais, simultanément, vous dirige vers un pseudo portail de sécurité d'où vous ne pouvez télécharger qu'un seul anti-spyware (faux utilitaire de sécurité, inconnu) et l'acheter, bien sûr !
Smitfraud, le vrai, n'inscrit rien dans votre ordinateur et ne modifie pas la base de registre |
 Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.
- Télécharge & installe les outils suivants :
- Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers dans tes documents. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
| Citation: | C:\WINDOWS\SYSTEM32\netwrap.dll
C:\Documents and Settings\Clems\Bureau\Install.exe
C:\Program Files\SpywareStrike\SpywareStrike.exe
C:\Program Files\SpywareStrike\uninst.exe
C:\WINDOWS\system32\netwrap.dll
C:\WINDOWS\system32\P2P Networking v124.cpl |
Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\System32\hp2FA4.tmp (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
Clique sur Fix Checked et accepte les modifications.
Lance un nettoyage avec CCleaner, comme c'est expliqué sur le tuto.
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copiés préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
Redémarre en mode sans échec et donne toi accès aux fichiers cachés
Supprime les dossiers suivants :
C:\Program Files\SpywareStrike
C:\Documents and Settings\Clems\Menu Démarrer\Programmes\MalwareWipe
Vide la corbeille
Lance un scan complet avec a² free et supprime tout ce qu'il trouve.
Même chose avec Spybot S&D
Relance SmitfraudFix , choisis l'option 2 et donne moi le rapport sur ta prochaine réponse.
Redémarre normalement
Nouveau scan & rapport de Panda
Fais un scan avec KAV & rapport
Nouveau log HijackThis
Un conseil : Tu devrais passer au SP2
@+
_________________
 |
|
| Revenir en haut |
|
|
Steerpike
Nouveau
Inscrit le: 05 Avr 2006
Messages: 4
|
| Posté le: 06 Avr 2006 11:32 Sujet du message: Traitement spysheriff et smitfraud (suite)... |
|
|
Bonjour Loreleï,
me voilà de nouveau après avoir suivi tes instructions à la lettre :
- rapport de smitfraudfix, option 2 : http://cjoint.com/?egnsnllbrk
- log activescan (Panda ?) : http://cjoint.com/?egnqF5GMWa
- KAV : pas de rapport car pas de virus détecté.
- nouveau log de Hijackthis : http://cjoint.com/?egnrV1ThJH
Et voilà !
C'est dingue tout ce qu'on peut trouver là dedans... et à quel point on sait pas se servir des instruments qu'on utilise au quotidien...!
Alors c'est bon ? La babasse est sauvée ou y'a encore du boulot ?
En tout cas il semble aller mieux, grâce à toi !!!! 
Pour avis d'expert : quel est l'intérêt de passer au SP2 ? Un ami a essayé et il n'a réussi qu'à ralentir son ordi et le faire planter un peu plus...
Idem, pour tout autre conseil afin de mieux protéger ma machine, je suis preneur et je répercuterai autour de moi.
En tout cas encore une fois merci !!!!
A+ |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 06 Avr 2006 15:19 Sujet du message: Re: Traitement spysheriff et smitfraud (suite)... |
|
|
Bonjour Steerpike,
| Steerpike a écrit: | | Alors c'est bon ? La babasse est sauvée ou y'a encore du boulot ? |
Il reste un peu de nettoyage mais rien de bien méchant.
| Citation: | | Pour avis d'expert : quel est l'intérêt de passer au SP2 ? Un ami a essayé et il n'a réussi qu'à ralentir son ordi et le faire planter un peu plus... |
L'intérêt est que le SP2 corrige de nombreuses failles de sécurité exploitées par les virus, hackers, et autres joyeusetés.
Le parefeu du SP2 est bien plus efficace que celui du SP1 aussi.
Pour passer correctement au SP2 et éviter les conflits il faut faire déjà la mise à jour de tes pilotes.
En cas de problème, tu peux toujours revenir en arrière et le désinstaller, mais en principe ça devrait passer.
Le système n'est pas pour autant protégé à 100 % mais au moins tu ne tentes pas le diable
- Supprime ceci et vide la corbeille : C:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAU\Online Security Guide.url
- Par le menu Démarrer / Exécuter tape regedit à l'invite de commandes, l'éditeur du registre de Windows va s'ouvrir.
 Fais très attention, c'est le coeur de ton système, ne te trompe surtout pas .
- Navigue dans le registre, en ouvrant un à un les dossiers HKEY_CLASSES_ROOT puis Interface et recherche la sous-clé :
{CE9B37EC-D243-47A2-83DB-3A8350175193}
- Fais un clic droit sur cette sous-clé et choisis supprimer dans le menu contextuel.
- Ferme le registre.
- Autre solution si tu ne veux pas t'y aventurer : tu fais un copier / coller de ce texte dans le bloc notes, et tu l'enregistres sous le nom de Fix.reg par exemple. L'extension du fichier doit être impérativement en .reg.
| Citation: | REGEDIT4
[-HKEY_CLASSES_ROOT\Interface\{CE9B37EC-D243-47A2-83DB-3A8350175193} ]
|
Fais en sorte qu'il y ait bien une ligne vide à la fin du texte.
Double clique sur Fix.reg et accepte la fusion au registre.
Fais un nouveau nettoyage avec CCleaner ou CleanUp et redémarre ton pc.
Nouveau rapport Panda.
Le reste est clean
@+
_________________
|
|
| Revenir en haut |
|
|
Steerpike
Nouveau
Inscrit le: 05 Avr 2006
Messages: 4
|
| Posté le: 07 Avr 2006 17:27 Sujet du message: |
|
|
Hello Loreleï !
J'ai bien suivi tes instructions mais il semble que ça n'ait pas encore tout reglé, cf le rapport de panda : http://cjoint.com/?ehtfzQsrdH
Il semblerait notamment que la clé n'ait pas été dégagée par l'opération consistant à faire un fichier commande .reg avec un saut de ligne inclu à la fin.
Quelques questions donc :
- est ce qu'il faut recommencer l'opération du fichier commande ?
- j'ai accédé au regedit et trouvé le dossier {CE9...193} en question. il contient deux sous dossiers. Si je dois l'effacer, faut il que j'efface l'ensemble du dossier ou juste le sous fichier correspondant ? 
-Concernant l'analyse avec CClean, par rapport à l'analyse et réparation des erreurs, l'ordi me demande si je veux "sauvegarder les changements faits dans le registre". La logique voudrait que oui, j'imagine... mais s'il s'agit de tripatouiller dans les entrailles de la machine, je préférerais ton avis d'abord.
- Enfin, concernant le SP2 cette fois : tu me dis qu'il faut mettre à jour mes pilotes avant de l'installer. A partir de quel site et quels pilotes exacement doivent être mis à jour ? Cela fait il partie des MAJ automatiques de Microsoft ?
Ca y est, j'ai epuisé le stock de questions pour le moment.
Et une fois de plus (je ne le répeterais jamais assez), merci pour ta patience et le temps consacré à sauver Bestiole.
Bonne fin de journée & à bientôt !  |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 08 Avr 2006 8:40 Sujet du message: |
|
|
Bonjour Steerpike,
| Steerpike a écrit: | | - j'ai accédé au regedit et trouvé le dossier {CE9...193} en question. il contient deux sous dossiers. Si je dois l'effacer, faut il que j'efface l'ensemble du dossier ou juste le sous fichier correspondant ? |
Tu supprimes l'ensemble de la sous clé {CE9B37EC-D243-47A2-83DB-3A8350175193}
Tu n'as pas supprimé ceci :
C:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAU\Online Security Guide.url
Fais un scan en ligne avec Pestpatrol et poste le rapport, qu'on voit s'il n'y a pas d'autres saletés dans le registre à virer.
| Steerpike a écrit: | | -Concernant l'analyse avec CClean, par rapport à l'analyse et réparation des erreurs, l'ordi me demande si je veux "sauvegarder les changements faits dans le registre". La logique voudrait que oui, j'imagine... mais s'il s'agit de tripatouiller dans les entrailles de la machine, je préférerais ton avis d'abord. |
C'est préférable, effectivement de faire une sauvegarde des modifications. Si tu constates une anomalie, tu pourras restaurer à partir de cette sauvegarde.
| Steerpike a écrit: | | - Enfin, concernant le SP2 cette fois : tu me dis qu'il faut mettre à jour mes pilotes avant de l'installer. A partir de quel site et quels pilotes exacement doivent être mis à jour ? Cela fait il partie des MAJ automatiques de Microsoft ? |
Tu peux passer par WU pour certains pilotes mais le mieux est d'aller chercher tes pilotes sur le site du constructeur.
Pour connaître la version des pilotes installés tu peux aller sur Maconfig.com et vérifier si tu disposes bien des dernières versions de tes drivers. Pour en savoir plus sur les drivers --> voir ici
Tu peux lire aussi ceci pour en savoir plus sur les précautions à prendre avant le passage au SP2.
@+
_________________
|
|
| Revenir en haut |
|
|
Steerpike
Nouveau
Inscrit le: 05 Avr 2006
Messages: 4
|
| Posté le: 08 Avr 2006 13:25 Sujet du message: |
|
|
Bonjour Loreleï,
j'ai vérifié de nouveau mais javais déjà bien viré Online Securtiy Guide.url (???).
Je viens aussi d'éliminer l'ensemble de la sous clé {CE9 etc...
Voilà le rapport de scan de pest patrol : http://cjoint.com/?eipuMAYlso
Il y a encore quelques petits trucs qui traînent mais par rapport à l'état de départ, je pense qu'on en voit la fin.
Sinon je vais suivre ton conseil pour le SP2. Merci pour les infos !
A+ |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 09 Avr 2006 12:08 Sujet du message: |
|
|
Bonjour Steerpike,
Tu peux dire merci à Kazaa pour tes infections virales. Oublie le, il est blindé de spywares.
| Citation: | | j'ai vérifié de nouveau mais javais déjà bien viré Online Securtiy Guide.url (???) |
C'est qu'il doit être généré par un fichier présent sur ton pc. Est-ce qu'il s'agit d'un raccourci sur le bureau ?
- Désinstalle Kazaa par Ajout / Suppression de Programmes
- Nettoie avec CCleaner et redémarre ton pc
- Il va falloir de nouveau intervenir dans le registre.
On va commencer par faire une sauvegarde au cas où :
- Place toi sur le Poste de Travail, dans la colonne de gauche
- Ensuite, fais fichier / exporter, place le fichier .reg dans tes documents par exemple.
 Tu peux utiliser la fonction "recherche" pour trouver les clés en appuyant sur le touche CTRL et F, tu fais un copier / coller de :
{16097036-894c-4c00-a61f-93ca0d49a70e} pour trouver la clé hkey_classes_root \interface\{16097036-894c-4c00-a61f-93ca0d49a70e}, par exemple.
Fais bien attention au chemin indiqué dans la barre tout en bas à gauche de la fenêtre pour ne pas faire d'erreur.
Trouve et supprime ces clés, uniquement ce qui est en vert :
hkey_classes_root \interface\{16097036-894c-4c00-a61f-93ca0d49a70e}
hkey_classes_root \interface\{1b540d44-3f61-4394-ae30-25fdc3649405}
hkey_classes_root \interface\{2ed5af98-9258-45ba-b79b-06625c92f662}
hkey_classes_root \interface\{700dc0dd-f409-42e0-9de5-21ee1a2ba9fd}
hkey_classes_root \interface\{c91e8926-d4be-4685-99f4-0d996b96bac0}
hkey_classes_root \interface\{ce9b37ec-d243-47a2-83db-3a8350175193}
hkey_classes_root \interface\{fd42f6d3-7ab1-470c-979b-7996edc99099}
hkey_classes_root \jcde_stack
hkey_classes_root \jcde_stack.1
hkey_local_machine \software\classes\interface\{16097036-894c-4c00-a61f-93ca0d49a70e}
hkey_local_machine \software\classes\interface\{1b540d44-3f61-4394-ae30-25fdc3649405}
hkey_local_machine \software\classes\interface\{2ed5af98-9258-45ba-b79b-06625c92f662}
hkey_local_machine \software\classes\interface\{700dc0dd-f409-42e0-9de5-21ee1a2ba9fd}
hkey_local_machine \software\classes\interface\{ce9b37ec-d243-47a2-83db-3a8350175193}
hkey_local_machine \software\classes\interface\{fd42f6d3-7ab1-470c-979b-7996edc99099}
hkey_local_machine \software\classes\interface\{c91e8926-d4be-4685-99f4-0d996b96bac0}
hkey_local_machine \software\classes\jcde_stack
hkey_local_machine \software\classes\jcde_stack.1
hkey_local_machine \software\microsoft\windows\currentversion\explorer\browser helper objecta
hkey_local_machine \software\microsoft\windows\currentversion\uninstall\xvid
- Effectue un nouveau nettoyage avec CCleaner
- Redémarre ton pc normalement ensuite.
- Nouveau scan & rapport de PestPatrol
@+
_________________
|
|
| Revenir en haut |
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
