infecté par smitfraud-C que faire ? -----rapports-------

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

Voici les rapports comme decris dans le post sur smitfraud-C quelq'un pourrais t'il m'aider ! merci d'avance

rapport1 smitfraudfix
rapport2 smitfraudfix
rapport AVG
rapport hijackthis

igor51

Bonsoir et Bienvenue !

Voici ce que tu vas faire :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne soirée

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

merci et voici la suite

rapport²SDfix
rapport hijackthis

igor51

Hello !

c'est déjà mieux, mais il faut continuer ;-)

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

A vos ordre mon général voici la suite

rapport combofix
rapport hijackthis

igor51

Hello !

Voici la suite des opérations :

Lance Hijackthis, choisis Do a scan only et coche les lignes suivantes :

O4 - HKLM\..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe
O4 - HKLM\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe
O4 - HKLM\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe
O4 - HKLM\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe
O4 - HKLM\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe
O4 - HKLM\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe
O4 - HKCU\..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe
O4 - HKCU\..\Run: [codecs] connkhkl.exe
O4 - HKCU\..\Run: [xpsysmt] C:\WINDOWS\system32\sysobbbk.exe
O4 - HKCU\..\Run: [klibinst] C:\WINDOWS\system32\kbldoc.exe
O4 - HKCU\..\Run: [solmreg] C:\WINDOWS\system32\sewsol.exe
O4 - HKCU\..\Run: [fwddls] C:\WINDOWS\system32\winufezf.exe
O4 - HKCU\..\Run: [lsitdm] C:\WINDOWS\system32\mfsysnv.exe
O4 - HKCU\..\Run: [mplaut] C:\WINDOWS\system32\ldcdx.exe
O4 - HKCU\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe
O4 - HKCU\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe
O4 - HKCU\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe
O4 - HKCU\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe
O4 - HKCU\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
O21 - SSODL: CmCLxc - {2A46150D-80EC-BFA7-4445-5EAA5EB90D58} - (no file)

Ferme toutes les fenetres sauf Hijackthis et clique sur Fix Checked

---------------------------------------------------------------------------------------

Télécharge OTMoveIt de OldTimer.

Sauvegarde le sur ton Bureau.
Double-Clique sur OTMoveIt.exe pour le lancer.

Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

Code:

C:\Program Files\Microsoft Security Adviser\msfw.exe
C:\Program Files\Microsoft Security Adviser\msctrl.exe
C:\Program Files\Microsoft Security Adviser\msavsc.exe
C:\Program Files\Microsoft Security Adviser\msscan.exe
C:\Program Files\Microsoft Security Adviser\
C:\Program Files\Microsoft Security Adviser\msiemon.exe
C:\Program Files\Microsoft Security Adviser\mssadv.exe
C:\WINDOWS\system32\sysobbbk.exe
C:\WINDOWS\system32\kbldoc.exe
C:\WINDOWS\system32\sewsol.exe
C:\WINDOWS\system32\winufezf.exe
C:\WINDOWS\system32\mfsysnv.exe
C:\WINDOWS\system32\ldcdx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\assched.exe

Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
Clique sur le boutton rouge Moveit!.
Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

--------------------------------------------------------------------------------------

Télécharge AVG Anti-Spyware

Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Du mode Sans Échec, lance AVG Anti-Spyware,
Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

================================================

Dans ta prochaine réponse, poste moi les rapports de AVG-AS, de Ot Move IT et un nouveau log Hijackthis.

Bonne soirée

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

suite des operations

rapport OTMoveIt
rapport AVG-AS
rapport Jijackthis

igor51

Bonjour,

c'est déja mieux.

Fais ceci maintenant :

Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Clique sur Suivant.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne journée

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

toujours a vos ordres chef !!!!!!!

rapport kaspersky

igor51

Bonjour,

voici la suite ;-)

Double-Clique sur OTMoveIt.exe pour le lancer.

Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

Code:

C:\WINDOWS\system32\vssvc.dll
C:\WINDOWS\system32\dllh8jkd1q2.exe
C:\WINDOWS\system32\dllh8jkd1q6.exe
C:\WINDOWS\system32\dllh8jkd1q7.exe
C:\WINDOWS\system32\regini.dll
C:\WINDOWS\$NtUninstallKB896423_0$\spoolsv.exe
C:\WINDOWS\$NtServicePackUninstall$\services.exe
C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y3GQXFI7\arr3[1].jar/Counter.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y3GQXFI7\arr3[1].jar/VerifierBug.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y3GQXFI7\arr3[1].jar/Beyond.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y3GQXFI7\arr3[1].jar
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y38031DS\setup[1].exe/stream
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Y38031DS\setup[1].exe
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8RWM9Q3M\sploit[1].anr
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\UGTAIS7W\count[1].jar/BlackBox.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\UGTAIS7W\count[1].jar/VerifierBug.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\UGTAIS7W\count[1].jar/Beyond.class
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\UGTAIS7W\count[1].jar
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\SP1K2HZF\adv498[1].htm
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\SII2U1YE\do_z[1].htm
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\SII2U1YE\108[1].htm
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IWH3PMDJ\do_z[1].htm
C:\lo771285597.exe
C:\lo1495958851.exe
C:\lo-133052667.exe

Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
Clique sur le boutton rouge Moveit!.
Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

--------------------------------------------------------------------------------------

Télécharge R-Hosts de S!ri : http://siri.urz.free.fr/Softs/RHosts.exe

Double-Clique dessus et clique sur Restaurer.

Poste moi le rapport de OT move IT

Bonne journée

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

Merci pour ton aide, ca en fait des manips quand même cette cochonnerie de virus !! En fait ca sert a quoi tout ca pour que ce soit constructif !!!

rapport OTMoveIt

igor51

Hello !

Toutes ces manip servent à chercher et éradiquer eseentillement.

D'autres sont faites pour contrôler.

Où en sont les problèmes maintenant ?

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

Pour le moment plus de fenêtre qui s'ouvrent !! je v'ai lancer spybot car²c'est lui qui le detectais smitfraud-C !

butzi · Nouveau Inscrit le: 16 Juil 2007 Messages: 10

Apres plusieurs jours sans avior lancé spybot, ce matin je le lance et la ! Smitfraud-C es revenu ! bon pour le moment pas de panique aucune ouverture de fenetre intempestive ! Que faire ? Pas content

igor51

Bonjour,

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

Bonne journée

	Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis	Toutes les heures sont au format GMT Aller à la page 1, 2 Suivante
Page 1 sur 2