Votre question

infection par smitfraud.c

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Mai 2007 11:54:32

bonjour a tous !

voila j ai recemment eu un probleme d infection par ce fameux smitfraud.c qui est repere par par spybot mais que je n arrive pas a detruire !

si quelqu un pourrait m aider

merci d avance

Autres pages sur : infection smitfraud

24 Mai 2007 14:01:50

ok alors voila l analyse :

Logfile of HijackThis v1.99.1
Scan saved at 13:59:43, on 24/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\Rundll32.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\lvcomsx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\acs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Contenus similaires
24 Mai 2007 16:09:15

Rien de visible dans ce rapport.

Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- A la fin de l'analyse, il te sera peut-être redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller


Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.
24 Mai 2007 18:14:50

alors voila le rapport de diaghelp :

DiagHelp version v1.08.1 - http://www.malekal.com
excute le 24/05/2007 à 16:45:20,84


Liste des fichiers modifies/crees dans les 24 dernieres heures...
\boot.ini
\Documents and Settings\All Users\Bureau
\Documents and Settings\All Users\Bureau\AVG Anti-Spyware.lnk
\Documents and Settings\All Users\Documents\Ma musique
\Documents and Settings\All Users\Menu Démarrer\Programmes
\Documents and Settings\All Users\Menu Démarrer\Programmes\AVG Anti-Spyware 7.5
\Documents and Settings\All Users\Menu Démarrer\Programmes\AVG Anti-Spyware 7.5\AVG Anti-Spyware.lnk
\Documents and Settings\All Users\Menu Démarrer\Programmes\AVG Anti-Spyware 7.5\Service & Support.lnk
\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis Version Française
\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis Version Française\Hijackthis Version Française.lnk
\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis Version Française\Page d'accueil de Hijackthis Version Française.lnk
\Documents and Settings\eMule_Secure\NTUSER.DAT
\Documents and Settings\eMule_Secure\NTUSER.dat.LOG
\Documents and Settings\Jean-Michel
\Documents and Settings\Jean-Michel\Bureau
\Documents and Settings\Jean-Michel\Bureau\audio
\Documents and Settings\Jean-Michel\Bureau\CCleaner.lnk
\Documents and Settings\Jean-Michel\Bureau\DiagHelp
\Documents and Settings\Jean-Michel\Bureau\Hijackthis Version Française.lnk
\Documents and Settings\Jean-Michel\Bureau\Kill Process.lnk
\Documents and Settings\Jean-Michel\Bureau\rapport.txt
\Documents and Settings\Jean-Michel\Bureau\SmitfraudFix.exe
\Documents and Settings\Jean-Michel\Favoris
\Documents and Settings\Jean-Michel\Favoris\Infos-du-Net.com Actualité Informatique, des logiciels et de l'Internet.url
\Documents and Settings\Jean-Michel\Local Settings\desktop.ini
\Documents and Settings\Jean-Michel\Local Settings\Temp
\Documents and Settings\Jean-Michel\Local Settings\Temp\LVCOMSX.LOG
\Documents and Settings\Jean-Michel\Local Settings\Temp\_avast4_
\Documents and Settings\Jean-Michel\Menu Démarrer\Programmes
\Documents and Settings\Jean-Michel\Menu Démarrer\Programmes\CCleaner
\Documents and Settings\Jean-Michel\Menu Démarrer\Programmes\CCleaner\CCleaner Homepage.url
\Documents and Settings\Jean-Michel\Menu Démarrer\Programmes\CCleaner\CCleaner.lnk
\Documents and Settings\Jean-Michel\Menu Démarrer\Programmes\CCleaner\Uninstall CCleaner.lnk
\Documents and Settings\Jean-Michel\Mes documents\download
\Documents and Settings\Jean-Michel\Mes documents\download\avgas-setup-7.5.0.50.exe
\Documents and Settings\Jean-Michel\Mes documents\download\ccsetup140.exe
\Documents and Settings\Jean-Michel\Mes documents\download\DiagHelp.zip
\Documents and Settings\Jean-Michel\Mes documents\download\HIJACKTHIS VF.exe
\Documents and Settings\Jean-Michel\Mes documents\download\KillProcess50fr.exe
\Documents and Settings\Jean-Michel\NTUSER.DAT
\Documents and Settings\Jean-Michel\ntuser.dat.LOG
\Documents and Settings\Jean-Michel\UserData\index.dat
\Documents and Settings\LocalService\Local Settings\desktop.ini
\Documents and Settings\LocalService\NTUSER.DAT
\Documents and Settings\LocalService\ntuser.dat.LOG
\Documents and Settings\NetworkService\Local Settings\desktop.ini
\Documents and Settings\NetworkService\NTUSER.DAT
\Documents and Settings\NetworkService\ntuser.dat.LOG
\My Documents\My Pictures\Samples
\My Documents\My Pictures\Samples\Thumbs.db
\pagefile.sys
\WINDOWS
\WINDOWS\0.log
\WINDOWS\bootstat.dat
\WINDOWS\Debug
\WINDOWS\Debug\oakley.log
\WINDOWS\Debug\oakley.log.sav
\WINDOWS\Debug\PASSWD.LOG
\WINDOWS\Internet Logs\BACKUP.RDB
\WINDOWS\Internet Logs\fwdbglog.txt
\WINDOWS\Internet Logs\fwpktlog.txt
\WINDOWS\Internet Logs\IAMDB.RDB
\WINDOWS\Internet Logs\tvDebug.log
\WINDOWS\Internet Logs\ZALog.txt
\WINDOWS\Internet Logs\ZALog2007.05.23.txt
\WINDOWS\Minidump
\WINDOWS\PCHealth\HelpCtr\DataColl
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_16.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_17.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_18.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_20.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_22.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_24.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_26.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_27.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_28.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_30.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_32.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_34.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_36.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_37.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_38.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_40.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_42.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_43.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_44.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_45.xml
\WINDOWS\PCHealth\HelpCtr\DataColl\history_db.xml
\WINDOWS\pss\boot.ini.backup
\WINDOWS\SchedLgU.Txt
\WINDOWS\security\logs
\WINDOWS\setuperr.log
\WINDOWS\setuplog.txt
\WINDOWS\system.ini
\WINDOWS\system32
\WINDOWS\system32\drivers
\WINDOWS\system32\drivers\etc\hosts
\WINDOWS\system32\tmp.reg
\WINDOWS\system32\tmp.txt
\WINDOWS\system32\vsconfig.xml
\WINDOWS\system32\wpa.dbl
\WINDOWS\system32\ZoneLabs\Updates
\WINDOWS\system32\ZoneLabs\Updates\LocalCatalog.xml
\WINDOWS\Tasks\SA.DAT
\WINDOWS\Temp
\WINDOWS\Temp\Perflib_Perfdata_6a0.dat
\WINDOWS\Temp\ZLT0021e.TMP
\WINDOWS\Temp\ZLT01fe4.TMP
\WINDOWS\Temp\ZLT01fe8.TMP
\WINDOWS\Temp\ZLT02ed4.TMP
\WINDOWS\Temp\ZLT057c4.TMP
\WINDOWS\Temp\ZLT0715e.TMP
\WINDOWS\Temp\_avast4_
\WINDOWS\Temp\_avast4_\Webshlock.txt
\WINDOWS\wiadebug.log
\WINDOWS\wiaservc.log
\WINDOWS\win.ini
\WINDOWS\WindowsUpdate.log


Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\AegisP.sys -->19/05/2007 13:02:30
C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:55
C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42
C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:41
C:\WINDOWS\System32/drivers\aswTdi.sys -->30/04/2007 17:38:51
C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:23
C:\WINDOWS\System32/drivers\nv4_mini.sys -->20/04/2007 06:05:00

C:\WINDOWS\System32\vsconfig.xml -->24/05/2007 16:39:52
C:\WINDOWS\System32\wpa.dbl -->24/05/2007 15:42:23
C:\WINDOWS\System32\tmp.txt -->24/05/2007 01:16:04
C:\WINDOWS\System32\tmp.reg -->24/05/2007 01:16:04
C:\WINDOWS\System32\dlh9jkd1q8.exe -->23/05/2007 14:54:04
C:\WINDOWS\System32\settingsbkup.sfm -->21/05/2007 15:07:34
C:\WINDOWS\System32\settings.sfm -->21/05/2007 15:07:34
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2007 11:39:03
C:\WINDOWS\System32\zllictbl.dat -->20/05/2007 11:25:25
C:\WINDOWS\System32\CONFIG.NT -->19/05/2007 22:49:09
C:\WINDOWS\System32\lvcoinst.log -->19/05/2007 20:36:04
C:\WINDOWS\System32\nscompat.tlb -->19/05/2007 14:14:29
C:\WINDOWS\System32\amcompat.tlb -->19/05/2007 14:14:29
C:\WINDOWS\System32\PerfStringBackup.INI -->19/05/2007 13:07:52
C:\WINDOWS\System32\perfh00C.dat -->19/05/2007 13:07:52
C:\WINDOWS\System32\perfh009.dat -->19/05/2007 13:07:52
C:\WINDOWS\System32\perfc00C.dat -->19/05/2007 13:07:52
C:\WINDOWS\System32\perfc009.dat -->19/05/2007 13:07:52
C:\WINDOWS\System32\results.txt -->19/05/2007 13:02:33
C:\WINDOWS\System32\h323log.txt -->19/05/2007 12:57:57
C:\WINDOWS\System32\wmpscheme.xml -->19/05/2007 12:07:56
C:\WINDOWS\System32\$winnt$.inf -->19/05/2007 12:05:54
C:\WINDOWS\System32\WindowsLogon.manifest -->19/05/2007 12:03:51
C:\WINDOWS\System32\logonui.exe.manifest -->19/05/2007 12:03:51
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->19/05/2007 12:03:47

C:\WINDOWS\0.log -->24/05/2007 16:40:25
C:\WINDOWS\WindowsUpdate.log -->24/05/2007 16:40:24
C:\WINDOWS\wiaservc.log -->24/05/2007 16:40:22
C:\WINDOWS\wiadebug.log -->24/05/2007 16:40:20
C:\WINDOWS\bootstat.dat -->24/05/2007 16:39:49
C:\WINDOWS\SchedLgU.Txt -->24/05/2007 15:42:47
C:\WINDOWS\setuplog.txt -->24/05/2007 15:42:33
C:\WINDOWS\win.ini -->24/05/2007 15:25:57
C:\WINDOWS\system.ini -->24/05/2007 15:25:57
C:\WINDOWS\setuperr.log -->24/05/2007 01:16:07
C:\WINDOWS\NeroDigital.ini -->21/05/2007 16:07:06
C:\WINDOWS\photoimpression.ini -->21/05/2007 15:44:02
C:\WINDOWS\WMSysPr9.prx -->19/05/2007 20:26:57
C:\WINDOWS\EPSMTL32.TXT -->19/05/2007 20:07:02
C:\WINDOWS\CDER220.ini -->19/05/2007 20:06:49


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\WINDOWS\system32

24/04/2003 14:00 4 096 csrss.exe
1 fichier(s) 4 096 octets
0 Rép(s) 241 771 962 368 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\WINDOWS\Downloaded Program Files

19/05/2007 20:17 <REP> .
19/05/2007 20:17 <REP> ..
19/05/2007 12:03 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
25/07/2002 17:05 172 032 isusweb.dll
26/05/2005 04:19 291 wuweb.inf
5 fichier(s) 393 572 octets

Total des fichiers listés :
5 fichier(s) 393 572 octets
2 Rép(s) 241 771 962 368 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2


Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

Rechercher adresses sensibles dans le fichier HOSTS...



catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 16:47:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Liste des programmes installes

3DMark06
Ad-Aware SE Personal
Adobe Flash Player ActiveX
AnyDVD
Applet_App
Applet_Copy
Applet_Creativity
Applet_Email
Applet_Epp
Applet_File
Applet_OCR
Applet_Web
Archiveur WinRAR
ArcSoft PhotoImpression 3.0
avast! Antivirus
AVG Anti-Spyware 7.5
CCleaner (remove only)
CloneDVD2
Copy Utility
eMule
EPSON Attach To Email
EPSON Attach To Email
EPSON Easy Photo Print
EPSON File Manager
EPSON Logiciel imprimante
EPSON Photo Print
EPSON Print CD
EPSON Scan Assistant
EPSON Smart Panel
EPSON TWAIN 5
EPSON Web-To-Page
Eraser 5.8
ESPR220 Guide util.
EVEREST Ultimate Edition v4.00
Gestionnaire Internet
GetRight
Hijackthis Version Française 1.99.0.1
InterVideo WinDVD 4
K-Lite Codec Pack 2.89 Full
Kill Process 5.0.0.5 (désinstaller seulement)
Language pack for Ad-Aware SE
Lecteur Windows Media 10
livebox
Logiciel QuickCam de Logitech
Microsoft Office XP Professional avec FrontPage
Navigateur Orange
Nero 7 Premium
NVIDIA Drivers
Paramètres de haut-parleur Creative
PIF DESIGNER
Programme d'installation OLITEC Client
Programme de gestion Camera de Logitech
ScanToWeb
Spybot - Search & Destroy 1.4
WebFldrs XP
Windows Media Format Runtime
ZoneAlarm



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\Program Files

24/05/2007 15:38 <REP> .
24/05/2007 15:38 <REP> ..
19/05/2007 22:49 <REP> Alwil Software
21/05/2007 15:43 <REP> ArcSoft
24/05/2007 01:02 <REP> CCleaner
19/05/2007 12:01 <REP> ComPlus Applications
21/05/2007 15:01 <REP> Creative
20/05/2007 11:41 <REP> Elaborate Bytes
21/05/2007 09:05 <REP> eMule
21/05/2007 15:42 <REP> EPSON
19/05/2007 20:13 <REP> EPSON Print CD
24/05/2007 15:42 <REP> Eraser
19/05/2007 20:42 <REP> Fichiers communs
21/05/2007 13:54 <REP> Futuremark
24/05/2007 16:43 <REP> GetRight
24/05/2007 01:02 <REP> Grisoft
24/05/2007 13:59 <REP> Hijackthis Version Française
19/05/2007 12:03 <REP> Internet Explorer
19/05/2007 19:57 <REP> InterVideo
24/05/2007 15:38 <REP> Kill Process
19/05/2007 14:15 <REP> K-Lite Codec Pack
19/05/2007 14:07 <REP> Lavalys
20/05/2007 11:16 <REP> Lavasoft
19/05/2007 20:25 <REP> Logitech
19/05/2007 12:01 <REP> Messenger
19/05/2007 12:04 <REP> microsoft frontpage
19/05/2007 14:51 <REP> Microsoft Office
19/05/2007 12:03 <REP> Movie Maker
19/05/2007 12:01 <REP> MSN
19/05/2007 12:01 <REP> MSN Gaming Zone
19/05/2007 20:42 <REP> Nero
19/05/2007 12:02 <REP> NetMeeting
19/05/2007 13:02 <REP> OLITEC
19/05/2007 12:02 <REP> Outlook Express
19/05/2007 13:25 <REP> SAGEM
19/05/2007 13:25 <REP> Securitoo
19/05/2007 12:01 <REP> Services en ligne
20/05/2007 11:36 <REP> SlySoft
20/05/2007 11:19 <REP> Spybot - Search & Destroy
24/05/2007 16:44 <REP> Wanadoo
19/05/2007 14:14 <REP> Windows Media Player
19/05/2007 12:01 <REP> Windows NT
19/05/2007 14:05 <REP> WinRAR
19/05/2007 12:04 <REP> xerox
20/05/2007 11:23 <REP> Zone Labs
0 fichier(s) 0 octets
45 Rép(s) 241 771 712 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\Program Files\fichiers communs

19/05/2007 20:42 <REP> .
19/05/2007 20:42 <REP> ..
19/05/2007 20:43 <REP> Ahead
19/05/2007 14:51 <REP> Designer
19/05/2007 20:17 <REP> InstallShield
19/05/2007 20:26 <REP> Logitech
19/05/2007 14:51 <REP> Microsoft Shared
19/05/2007 12:02 <REP> MSSoap
19/05/2007 12:55 <REP> ODBC
19/05/2007 12:02 <REP> Services
19/05/2007 12:55 <REP> SpeechEngines
19/05/2007 12:02 <REP> System
0 fichier(s) 0 octets
12 Rép(s) 241 771 712 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

19/05/2007 14:51 <REP> .
19/05/2007 14:51 <REP> ..
19/05/2007 14:51 <REP> 1033
19/05/2007 14:51 <REP> 1036
15/02/2001 05:45 1 318 912 MSONSEXT.DLL
13/02/2001 08:23 58 784 MSOSV.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
06/08/2000 09:04 401 462 MSVCP60.DLL
22/01/2001 03:25 69 632 PKMAXCTL.DLL
22/01/2001 03:25 872 448 PKMCDO.DLL
22/01/2001 03:25 159 744 PKMCORE.DLL
07/02/2001 09:59 106 496 PKMFORMS.DLL
12/02/2001 04:03 684 032 PKMRES.DLL
22/01/2001 03:25 28 672 PKMSSTLB.DLL
22/01/2001 03:25 40 960 PKMTEMPL.DLL
22/01/2001 03:25 24 576 PKMTRACE.DLL
22/01/2001 03:25 86 016 PKMWS.DLL
22/01/2001 03:25 237 568 PROMDEMO.DLL
22/01/2001 03:25 184 320 SECMGR.DLL
22/01/2001 03:25 323 584 VAIDDMGR.DLL
22/01/2001 03:25 32 768 VAIMEM.DLL
18 fichier(s) 4 879 944 octets
4 Rép(s) 241 771 712 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D0EB-6CD7

Répertoire de C:\

12/05/2007 18:22 68 096 diff.exe
12/05/2007 18:22 103 424 grep.exe
2 fichier(s) 171 520 octets
0 Rép(s) 241 771 708 416 octets libres
c:\Documents and Settings\Jean-Michel\Bureau\SmitfraudFix.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Jean-Michel\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Jean-Michel\Local Settings\Temporary Internet Files\Content.IE5\O5KQX7ED\KillProcess50fr[1].exe
c:\Documents and Settings\Jean-Michel\Local Settings\Temporary Internet Files\Content.IE5\O5KQX7ED\SmitfraudFix[1].exe
c:\Documents and Settings\Jean-Michel\Mes documents\3dmark-06_3dmark_06_francais_18592.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\avgas-setup-7.5.0.50.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\ccsetup140.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\HIJACKTHIS VF.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\KillProcess50fr.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\Creative_audio_32-64bit\Creative_audio_32-64bit\Setup.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\Creative_audio_32-64bit\Creative_audio_32-64bit\support\amd64\ctzapxx.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\Creative_audio_32-64bit\Creative_audio_32-64bit\support\i386\ctzapxx.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\Creative_audio_32-64bit\Creative_audio_32-64bit\wdm\Common\mididef.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\Creative_audio_32-64bit\Creative_audio_32-64bit\wdm\Common\P17Def.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\dumphive.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\GenericRenosFix.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\HostsChk.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\Process.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\Reboot.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\restart.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\SmiUpdate.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\swreg.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\swsc.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\swxcacls.exe
c:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\unzip.exe
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll

diaghelp m a aussi donne ca :

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 16:47:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

et voila le rapport de smitfraudfix :

SmitFraudFix v2.186

Rapport fait à 17:07:54,79, 24/05/2007
Executé à partir de C:\Documents and Settings\Jean-Michel\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\lvcomsx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Eraser\eraser.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\acs.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Michel


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Michel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-M~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

24 Mai 2007 18:29:42

Supprime Smitfraudfix, il ne trouve rien.

$$ Télécharge
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.


$$ Redémarre en mode sans échec.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt et un nouveau HijackThis.
25 Mai 2007 00:51:17

alors voila le rapport sdfix :


SDFix: Version 1.84

Run by Jean-Michel - 25/05/2007 - 0:43:16,26

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found...




Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


Remaining Files:
---------------


Checking For Files with Hidden Attributes:

C:\WINDOWS\LastGood.Tmp\INF\oem0.inf
C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem1.inf
C:\WINDOWS\LastGood.Tmp\INF\oem1.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem2.inf
C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem3.inf
C:\WINDOWS\LastGood.Tmp\INF\oem3.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem4.inf
C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF

Finished


voila le rapport clean :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 25/05/2007 a 0:41:31,26

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\dlh9jkd?q?.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

et enfin le nouveau hijackthis :


Logfile of HijackThis v1.99.1
Scan saved at 00:47:28, on 25/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\acs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\WINDOWS\System32\lvcomsx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


25 Mai 2007 01:25:43

Hijackthis est propre.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
25 Mai 2007 11:18:59

voila le rapport kaspersky :

(il y a beaucoup de points infectes ! avast, ad aware et spybot ne trouve rien !)
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, May 25, 2007 11:16:13 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/05/2007
Enregistrements dans la base antivirus Kaspersky : 328881
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés: 34750
Nombre de virus trouvés: 4
Nombre d'objets infectés: 18 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:12:53

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Jean-Michel\Bureau\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré
C:\Documents and Settings\Jean-Michel\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\Mes documents\download\clean.zip/clean/pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré
C:\Documents and Settings\Jean-Michel\Mes documents\download\clean.zip ZIP: infecté - 1 ignoré
C:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\Documents and Settings\Jean-Michel\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Jean-Michel\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP27\A0005348.exe Infecté : Trojan-Downloader.Win32.Tibs.la ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP29\A0006168.exe Infecté : Trojan-Downloader.Win32.Tibs.la ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP29\A0007174.exe Infecté : Packed.Win32.Tibs.aa ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007261.exe Infecté : Packed.Win32.Tibs.aa ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007267.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007311.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007389.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007436.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007436.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007436.exe RarSFX: infecté - 2 ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007510.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007519.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007519.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\A0007519.exe RarSFX: infecté - 2 ignoré
C:\System Volume Information\_restore{73A86ED9-496F-412D-8849-827E691413AC}\RP30\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\X24600.ldb L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_698.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT00c96.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT00c99.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
25 Mai 2007 22:18:00

Bonjour

Les scans en ligne sont plus peformants, mais ils ne protègent pas.


$$ Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du système et cliquer sur Appliquer.


$$ Supprime les fichiers/dossiers incriminés

C:\Documents and Settings\Jean-Michel\Bureau\clean
C:\Documents and Settings\Jean-Michel\Mes documents\download\clean.zip
C:\Documents and Settings\Jean-Michel\Mes documents\download\SmitfraudFix
DiagHelp.zip
DiagHelp
SDFix
SDFix.exe

C:\rapport_clean.txt

$$ Vide la corbeille.


$$ Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.


As tu encore des dysfonctionnements ?
26 Mai 2007 12:04:40

Nickel ! Mon infection smitfraud a disparu !

en tout cas un Grand Merci a toi !
26 Mai 2007 23:18:47

De rien.

Encore une petite chose.
Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne =
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé.
---> http://www.malwarecomplaints.info/viewforum.php?f=10

Plus d'informations ici
http://forum.zebulon.fr/index.php?showtopic=88688
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS