Se connecter / S'enregistrer
Votre question

Mon PC est infecté par Smitfraud.C (Résolu)

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Décembre 2005 17:37:54

Bonjour,
hier mon pc a été infecté par SmitfraudC. Mon pc est équipé de Spybot Search and Destroy et de Avast anti-virus. J'ai alors détruit les fichiers, les icones et programmes apparus sur mon bureau, mais Spybot refuse de supprimer Smitfraud.C. En lisant dans votre forum sur le sujet, j'ai downloadé A2free et j'ai scanné mon ordi, il restait 4 Malwares que j'ai supprimé avec succès. Toutefois, après avoir redémarré mon ordi Smitfraud est toujours détecté et je continue a recevoir des pop up et le triangle jaune continue de flasher dans le bas de mon écran. Je ne suis pas très doué en informatique alors aidez- moi SVP.


Après avoir passé le Smitfraud fix, ça ne marche pas voici donc le 1er rapport.
SmitFraudFix v2.02

Rapport fait à 11:52:11,87 le 2005-12-05
Executé à partir de C:\Documents and Settings\Proprio\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mscornet.exe PRESENT !
C:\WINDOWS\system32\mssearchnet.exe PRESENT !
C:\WINDOWS\system32\msvol.tlb PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\nvctrl.exe PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Proprio\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\SpyAxe\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Et le second rapport après le nettoyage est le suivant

SmitFraudFix v2.02

Rapport fait à 12:03:09,35 le 2005-12-05
Executé à partir de C:\Documents and Settings\Proprio\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\hp????.tmp supprimé
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\mscornet.exe supprimé
C:\WINDOWS\system32\mssearchnet.exe supprimé
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\nvctrl.exe supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Merci

Autres pages sur : infecte smitfraud resolu

5 Décembre 2005 18:47:29

Je vois qu'il y a des personnes qui ont lu mon message mais personne ne me répond....

Je vous rajoute ici le rapport que j'obtiens présentement par Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:42:58, on 2005-12-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\LTMSG.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Proprio\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LTMSG] LTMSG.exe 7
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

SVP aidez-moi
Contenus similaires
5 Décembre 2005 23:19:10

Merci de me répondre Esteban 54,
je viens d'essayer et Panda Antivirus ne veut pas fonctionner. Je redémarre mon ordi et je réessaie.

a dans quelques minutes
5 Décembre 2005 23:22:14

désactive Avast pour le scan chez Panda Antivirus...
5 Décembre 2005 23:27:03

Excuse moi je ne suis pas très douée, comment on fait pour désactiver Avast?
5 Décembre 2005 23:33:24

ouvre Avast
Bouclier Web
bouton "Pause"
OK
6 Décembre 2005 00:01:14

Ok activescan de Panda a terminé et me demande la zone a analyser. J'ai commencé par disque locaux est-ce correct?
6 Décembre 2005 00:10:51

oui c'est correct.
6 Décembre 2005 00:18:39

Voila le rapport:

Il n'y a qu'un logiciel espion voila

Incident Statut Analyse

Adware:Adware/Miamore Non désinfecté C:\WINDOWS\
6 Décembre 2005 00:24:54

Merci encore Esteban54, je vais attendre ta réponse.

Toutefois est-ce normal que lorsque je copie le rapport ce n'est pas identique ?
C'est que sur le site de Panda ça indique plus précisément C:\WINDOWS\adsldpbe.dll

A +
6 Décembre 2005 00:25:55

Supprime ce fichier : C:\WINDOWS\adsldpbe.dll

Fais un scan en ligne chez kaspersky et poste le rapport.
6 Décembre 2005 00:59:52

J'ai effacé le fichier et redémarrer l'ordi. Toutefois, lors du démarrage de Kapersky cela indique échec du chargement du contrôle ActiveX blabla
ils me disent de configurer le niveau de sécurité IE sur moyen. Est-ce que cela veut dire qu'il faut que je mette Avast a protection normale ou quelque chose d'autre?

Merci encore
6 Décembre 2005 14:25:01

Salut,

Non il faut juste permettre IE de télécharger des ActiveX (celui de Kaspersky).

Fais ceci pour mettre le niveau de sécurité sur moyen :
- lance IE
- Outils / Options Internet
- dans l'onglet Sécurité, appuie sur "Niveau par défaut"

Ca remettra la configuration par défaut (si tu veux pas, dis le, j'essayerais de te dire ce qu'il faut changer exactement pour ne changer que ça).
6 Décembre 2005 15:43:25

Merci OmaR_ShaRif de prendre la relève. Je ne peux pas mettre le niveau par défaut. Comment je fais?
6 Décembre 2005 22:20:15

Pourquoi je n'arrive pas a faire le scan en ligne de Kaspersky ?

J'ai pourtant mis le niveau de sécurité de IE a moyen et j'ai toujours un message m'indiquant de le faire....
6 Décembre 2005 22:49:00

Normalement en haut de la fentre il y a écrit : " ...nécéssite un activeX ..." (dsl mais me souvient pas exactement.
tu fait clic droit et tu fait "installer" ou "télécharger"
ensuite tu suis la procédure
voila a+
6 Décembre 2005 23:17:53

Merci PoLo_ mais finalement ce n'était pas ça qui ne marchait pas j'ai du personnaliser mon niveau pour pouvoir recevoir Active X. Alors j'ai enfin réussi.

Bon alors j'ai fait mon Scan sur Karspersky et il y avait 6 virus et 18 objets infectés, voici le rapport

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004295.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004309.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004322.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004337.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004350.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004418.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004430.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004448.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004463.tlb Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004466.exe Infecté: Trojan-Downloader.Win32.Zlob.cb ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004470.dll Infecté: Trojan-Downloader.Win32.Delf.zu ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004483.tlb Infecté: Trojan.Win32.Puper.bq ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004491.tlb Infecté: Trojan.Win32.Puper.bq ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004502.tlb Infecté: Trojan.Win32.Puper.bq ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004514.exe Infecté: Trojan-Downloader.Win32.Zlob.bz ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004515.exe Infecté: Trojan-Downloader.Win32.Zlob.ca ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004517.exe Infecté: Trojan.Win32.Puper.bq ignoré

C:\System Volume Information\_restore{329E0CA3-15DE-48F1-BE8B-3D49FA75767D}\RP49\A0004592.dll Infecté: Trojan-Downloader.Win32.Delf.lh ignoré

Analyse terminée.


Qui peut m'aider?

Merci
7 Décembre 2005 01:49:35

Bonsoir,

Les virus localisés dans C:\System Volume Information\_restore{...
sont dans les points de restauration du système donc :
Désactive la restauration du système pour supprimer ces points de restauration (clic droit sur poste de travail/propriétés/restauration du système/cocher la case : désactiver la restauration du système)
puis réactive-la
7 Décembre 2005 02:00:19

Ok j'ai fait ça ensuite je fais quoi?
7 Décembre 2005 02:07:09

as-tu encore des dysfonctionnements ?
7 Décembre 2005 02:14:46

Lorsque j'ai désactivé la restauration, est-ce qu'il fallait que je détruise certains fichiers?



7 Décembre 2005 02:16:34

non c'est bon, les points de restauration et donc les virus qui s'y trouvent sont effacés.
Par contre ensuite n'oublie pas de réactiver la restauration du système.

as-tu encore des dysfonctionnements ?
7 Décembre 2005 02:20:46

Merci encore Esteban54
Je ne sais pas si j'ai encore des dysfonctionnements car en apparence je n'en avais plus depuis que j'avais passé Smitfraudfix, mais Spybot le détectait toujours.

Je vais repasser Spybot et je t'en redonne des nouvelles....
7 Décembre 2005 02:23:16

il se peut que Spybot S&D trouve encore une trace résiduelle de SmitFraud dans la base de registre, mais elle est sans effet.
donc pas d'inquiétude.
;-)
7 Décembre 2005 02:32:46

Merci Esteban 54 pour tes précieux conseils et ta patience étant donné que je ne suis pas très callé en informatique. C'est très admirable d'aider les gens comme tu le fais je t'en serai reconnaissante pendant longtemps.

En effet, Spybot le détecte encore. Est-ce qu'il va le détecter encore très longtemps ou cela devrait disparaître a un moment donné?

Est-ce qu'il y a quelque chose que je devrais faire pour m'assurer qu'il n'y aura plus de virus relié a Smitfraud?
7 Décembre 2005 02:39:22

Spybot S&D détecte encore une trace, un reliquat, mais c'est sans importance.
Tu n'es plus infecté par SmitFraud.
Tu peux dormir sur tes 2 oreilles.
7 Décembre 2005 02:49:09

Encore merci et a la prochaine Esteban54
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS