| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
TomKrouze
Nouveau
Inscrit le: 20 Fév 2007
Messages: 5
Localisation: Liège
|
 Posté le: 20 Fév 2007 22:09 Sujet du message: Smitfraud-C - Bifrose : Demande d'aide |
|
|
Bonsoir à tous !
Et bien voilà, un beau jour un pote me file un lien pas très net, et arrivant dessus, quelques messages d'erreurs et mon pauvre petit AVG s'affole en me disant "Threat detected" ou un bazar du genre !
Il le soigne, ok c'est cool.
Le jour après, je remarque que je reçois souvent des messages d'AVG en me disant qu'il y a un virus sur mon ordinateur, qu'il soigne sans aucun problème à chaque fois. Je fais une analyse, et je remarque que j'ai une centaine de virus (du même nom approximativement, genre "A0447514.exe").
Je fais un chtit scan Spybot, et il me trouve pas mal de Spywares, dont un certain Smitfraud-C ! Celui-ci contient deux lignes de registres et un dll infectés apparement. Les lignes du registre sont réparés, mais la dll reste impossible d'accès pour Spybot.
Une partie du log de Spybot, pour vous rendre compte :
| Citation: | --- Search result list ---
Smitfraud-C.: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
Smitfraud-C.: Bibliothèque (Fichier, nothing done)
C:\WINDOWS\system32\rpcc.dll
Smitfraud-C.: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts |
Bref, les messages d'erreurs se font sans cesse depuis lors. J'ai donc fait une petite recherche, et me voilà tombé sur vous, bande de veinards 
J'ai donc suivi votre méthode afin de m'en débarrasser ! Je me permet donc de demander votre humble aide 
Voici donc venir (le teeeemps des rires et des.. euh hum), dans l'ordre :
Le rapport Smitfraudfix en mode normal :
| Citation: |
EDIT MODO: Pas de rapport en direct sur le forum.
Fais comme pour les autres rapports  |
J'arrive donc en mode sans échec à partir d'ici.
Le scan AVG AS 7.5 :
(Je vous ai laissé les tracking cookies )
Le second scan Smitfraudfix :
| Citation: | SmitFraudFix v2.143
Rapport fait à 22:43:38,85, 20/02/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec |
Et enfin, l'ultime scan HiJackThis :
| Citation: | Logfile of HijackThis v1.99.1
Scan saved at 22:45:07, on 20/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) |
Voilà ! J'espère pas avoir fait trop de conneries dans mes manipulations ^^.
Je vous remercie d'avance pour toute l'aide déjà apportée, et l'éventuelle à venir ! ^^
Bonne soirée à tous. |
|
| Revenir en haut |
|
 |
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 1947
|
| Posté le: 20 Fév 2007 23:11 Sujet du message: |
|
|
Bonsoir,
Tu es effectivement infecté.
Mais plus particulièrement par Bifrose.
Utilises-tu POKER.FR ?
- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :
O2 - BHO: (no name) - {E818A918-D973-6B0D-95C1-BCC57410FED0} - (no file)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
Clique sur Fix checked (en bas à gauche)
Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
Double-clique sur OTMoveIt.exe afin de le lancer.
Sélectionne l'emplacement suivant :
C:\WINDOWS\System32\rpcc.dll
---> Clique-droit puis Copier
Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur MoveIt!
 Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.
_________________
 |
|
| Revenir en haut |
|
|
TomKrouze
Nouveau
Inscrit le: 20 Fév 2007
Messages: 5
Localisation: Liège
|
| Posté le: 21 Fév 2007 0:59 Sujet du message: |
|
|
Bonsoir ! Merci pour la rapidité de réponse :)
Bifrose donc ! Première nouvelle ^^. Et oui en effet, j'utilise Poker.fr !
Alors, j'ai bien réparé les trois lignes avec HiJackThis. Puis j'ai utilisé Move It, et il m'a mis que c'était pas possible à cet instant, j'ai alors rebooté.
Voici le log :
| Citation: | LoadLibrary failed for C:\WINDOWS\System32\rpcc.dll
C:\WINDOWS\System32\rpcc.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\rpcc.dll scheduled to be moved on reboot.
Created on 02/21/2007 01:50:36
|
|
|
| Revenir en haut |
|
|
TomKrouze
Nouveau
Inscrit le: 20 Fév 2007
Messages: 5
Localisation: Liège
|
| Posté le: 21 Fév 2007 10:57 Sujet du message: |
|
|
Rebonjour.
Grande nouvelle : mon PC ne démarre plus ! Même en mode sans échec ! J'ai rebooté après le Move It, puis il ne dépasse pas la page d'accueil de Windows XP. 
En fait, je vois mon fond d'écran avec le pointeur, pas d'icônes, pas de menu démarrer, et alors à ce moment-là, il reboot tout seul. Les disques durs ont l'air de s'arrêter en fait, car je les entends reprendre au nouveau reboot.
Ce matin, je réessaye donc après une nuit de calme, et il me fait un scan windows, et il m'a dit qu'il y avait une erreur dans deux fichiers du dossier system32, à savoir un truc genre config et un log, j'me souviens plus de la fin du fichier.
Me faites pas formater, je vous en supplie... |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 1947
|
| Posté le: 21 Fév 2007 11:41 Sujet du message: |
|
|
Re,
Tu n'as pourtant rien fait de spécial...
On peut essayer une réparation (cela ne supprimera aucun de tes fichiers), possèdes-tu le cd de Windows ?
_________________
|
|
| Revenir en haut |
|
|
TomKrouze
Nouveau
Inscrit le: 20 Fév 2007
Messages: 5
Localisation: Liège
|
| Posté le: 21 Fév 2007 15:20 Sujet du message: |
|
|
Finalement j'ai opté pour la solution radicale, j'ai trouvé une ancienne image de mon disque C et je l'ai réinstallée. A vrai dire, même mon routeur s'emballait, j'ai plus rien compris sur la fin.. :-/
Bref, me voici avec une nouvelle image tout belle. Et n'a pu rien..
Gros gros groooos merci pour l'aide apportée ! Mon PC a perdu le contrôle sur la fin, mais c'est rien |
|
| Revenir en haut |
|
|
Angeldark
Equipe de désinfection
Inscrit le: 04 Nov 2006
Messages: 1947
|
| Posté le: 21 Fév 2007 16:30 Sujet du message: |
|
|
Tu peux quand même faire un scan en ligne Panda pour vérifier ?
_________________
|
|
| Revenir en haut |
|
|
TomKrouze
Nouveau
Inscrit le: 20 Fév 2007
Messages: 5
Localisation: Liège
|
| Posté le: 21 Fév 2007 16:56 Sujet du message: |
|
|
Ouaip, sans problème !
En fait, je viens de remettre AVG sur mon image, ainsi que Spybot et Ad-Aware. Je les ai mis à jour avant d'aller sur un quelconque site, puis j'ai fait une analyse avec les trois pour voir. J'ai aussi Zone Alarm au passage ^^.
Ad-Aware a trouvé quelques saletés, puis Spybot aussi quelques lignes de registres. AVG a découvert un machin Trojan.swizzor.8.bl ! Et que vois-je.. Quelques fichiers avec des noms genre A0017447.exe...
Tout a été supprimé ! Je commence à l'instant le scan Panda.
Je sens que je vais finir par formater pour de bon
Edit : Voici le scan Panda : Ici
Tiens, les 4 premiers exe, quand je clic droit dessus, ça fait planter explorer
J'arrive à en détruire 3 avec TuneUp Shredder, mais il reste le ERYMXGKF.EXE.
Re-edit : Ah nan, gros boulet que je suis, j'avais pas vu qu'il était en cours de fonctionnement. Je l'ai alors supprimé dans le gestionnaire des tâches, puis je l'ai supprimé aussi avec TuneUpShredder. |
|
| Revenir en haut |
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
