Infection (j'ai téléchargé SmitFraud)

towowon · Novembre 1, 2008, 6:09

bonsoir,
je dois être infecté (mon antivirus n’a pourtant rien détecté)

je poste le rapport hijackthis ? merci

voilà le rapport

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\epson\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\DAP\DAP.exe
C:\Windows\vspc1300.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\System32\p2phost.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Philips\Philips SPC1300NC Webcam\TrayMin1300.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\System32\wsqmcons.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.medion.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d’outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM..\Run: [ATICCC] « C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe »
O4 - HKLM..\Run: [BullGuard Install] « C:\Program Files\BullGuard Install\Install BullGuard.exe » fr Medion
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [QuickFinder Scheduler] « C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE »
O4 - HKLM..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM..\Run: [DownloadAccelerator] « C:\Program Files\DAP\DAP.EXE » /STARTUP
O4 - HKLM..\Run: [SPC1300] C:\Windows\vspc1300.exe
O4 - HKLM..\Run: [SunJavaUpdateSched] « C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe »
O4 - HKLM..\Run: [QuickTime Task] « C:\Program Files\QuickTime\QTTask.exe » -atboottime
O4 - HKLM..\Run: [iTunesHelper] « C:\Program Files\iTunes\iTunesHelper.exe »
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] « C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe »
O4 - HKLM..\Run: [MSConfig] « C:\Windows\system32\msconfig.exe » /auto
O4 - HKCU..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] « C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe »
O4 - HKCU..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU..\Run: [MsnMsgr] « C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe » /background
O4 - HKUS\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‹ SERVICE LOCAL ›)
O4 - HKUS\S-1-5-19..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‹ SERVICE LOCAL ›)
O4 - HKUS\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‹ SERVICE RÉSEAU ›)
O4 - Global Startup: TrayMin1300.lnk = ?
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra ‹ Tools › menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O17 - HKLM\System\CCS\Services\Tcpip..{B8C9F31C-17DB-41C3-93EC-2B7F7FAC954E}: NameServer = 84.103.237.144 86.64.145.144
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

towowon · Novembre 1, 2008, 8:48

attendez, attendez

laissez-moi le temps de vous répondre,
à tous

guigui14100 · Novembre 1, 2008, 9:34

Salut

Quelle sont les symptôme?
Pourquoi a tu télécharger Smitfraudfix, tu a un hijackk de bureau?
Avast n’est pas térible

Puis fait un scan complet avec [MBAM[/url], supprime les detection et colle le rapport [url=http://guigui14100.web.officelive.com/tutorialmbam.aspx]b[/b]](http://www.malwarebytes.org/mbam/program/mbam-setup.exe)
Edité le 01/11/2008 à 21:36

towowon · Novembre 1, 2008, 9:57

symptômes
déconnexions inempestives (rares mais bizarres)

et des lenteurs

j’ai téléchargé smitfraudfix parce-qu’un helper m’avait incité à le faire , mais je n’ai plus de nouvelles

un hijack de bureau , que veux-tu dire ?
AVAST pas terrible, oui, je sais

un scan avec MBAM ? malwarebytes, ok , j’ai déjà
il ne détecte rien
je le relance et poste le scan
Edité le 01/11/2008 à 22:01

cricri58 · Novembre 1, 2008, 10:06

Rends toi ici
ESET online scanner avec Explorer
www.eset.eu…
coches
remove founds Thtreats
et
scan Unwanted applications

ensuite
Bitdefender online scanner avec Explorer
www.bitdefender.com…

Fermes tes autres applications et desactives ton Antivirus que tu n oublieras pas de REACTIVER aprés l analyse et ce pour les deux analyses

tu nous diras s il y a eu suppressions !!

towowon · Novembre 1, 2008, 10:42

mbam : depuis 40 minutes qu’il tourne, zéro fichier infecté

eset.esu : je viens de lancer

bitdefender : à suivre :kaola:

désactiver d’abord l’antivirus , ok, bon , on recommence
Edité le 01/11/2008 à 22:44

guigui14100 · Novembre 1, 2008, 10:49

A tu mis a jour avant de le relancer?

towowon · Novembre 1, 2008, 11:29

Malwarebytes’ Anti-Malware 1.28
Version de la base de données: 1226
Windows 6.0.6001 Service Pack 1

01/11/2008 23:22:09
mbam-log-2008-11-01 (23-22-09).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 126484
Temps écoulé: 1 hour(s), 19 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Mis à jour, oui

je viens d’arrêter la protection résidente d’avast et vais lancer ton prog

ah enfin un thread…
j’attends la fin du scan pour savoir de quoi il s’agit
Edité le 01/11/2008 à 23:39

towowon · Novembre 1, 2008, 11:47

j’ai envie d’arrêter le scan pour voir ce qu’est ce thread, ok ?

Sinon, le temps que le scan se termine, on sera tous morts et enterrés …

EDIT
le thread est un élément inconnu
mais pas un virus visiblement
Edité le 08/11/2008 à 16:25

guigui14100 · Novembre 2, 2008, 12:27

Ta version de MBAM est périmée mais le a jours et relance une analyse compléte

[quote=""] Malwarebytes' Anti-Malware 1.30 Version de la base de données: 1354 [/quote] ;)

towowon · Novembre 8, 2008, 4:23

bonjour,
je n’ai pas pu venir ces derniers jours

rapport identique avec version 1354 (pas d’infections)
mais il y a une mise à jour encore plus récente , la 1373 (pas d’infections)

voici le rapport ;
Malwarebytes’ Anti-Malware 1.30
Version de la base de données: 1373
Windows 6.0.6001 Service Pack 1

08/11/2008 16:22:22
mbam-log-2008-11-08 (16-22-22).txt

Type de recherche: Examen rapide
Eléments examinés: 42632
Temps écoulé: 3 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

morgan_av · Novembre 8, 2008, 6:05

Dans ton rapport Hijackthis, tu as apparemment 2 antivirus, l’un qui est avast! et l’autre bullguard … Es - tu au courant ?
Et puis regarde la fiche de SmitFraudFix, il est bien spécifié : « NB : À noter enfin que SmitFraudFix utilise «process.exe» permettant de mettre fin à certains processus. Il est pour cela identifié par quelques antivirus comme une menace. Ce n’est en réalité qu’un faux positif, donc aucun risque à craindre, bien au contraire ! »

En tout cas je te conseille vivement de faire le ménage avec CCleaner ou Glary utilities de la base de registre…

towowon · Novembre 8, 2008, 8:53

oui, mais Bullguard n’est pas actif
Ccleaner , je l’utiise presque chaque jour, il nettoie oui (comme clean center qui est beaucoup mieux) y compris ce que tu ne veux pas voir « nettoyer » quand tu n’y prêtes pas attention, comme par exemple les documents récents

ccleaner, ce n’est pas le logiciel miraculeux non plus …

[i]NB : À noter enfin que SmitFraudFix utilise «process.exe» permettant de mettre fin à certains processus. Il est pour cela identifié par quelques antivirus comme une menace. Ce n'est en réalité qu'un faux positif, donc aucun risque à craindre, bien au contraire !"[/i]

aucun problème,
pourquoi ces lignes ?
Edité le 08/11/2008 à 20:54