Mon raport SmitFraudFix

ikapun · Mars 15, 2008, 3:16

bonjour
j’ai un virus et j’en sais pas comment me debarasser, j’ai fait le scan avec spybot il m’a detecté des truc ,les a enleve et me dit que s’est bon , mais chaque fois que j’ouvre une application il y a une fenetre qui m’apparaise et me dit que j’ai un trojan inconu et me recomande de telecharger sur le net le spyware qu’il me propose, et en faite je fait ok mais rien ne se passe le internet explorer cesse de fonctioner et la fenetre enervante apairait du nouveau
j’ai fait un peu les forums et je telecharger et j’ai telecharger SmitfraudFix, ci dessous le rapporte qu’il me sorte, mais je sais pas comment l’interpreter et quoi faire apres
Aidez moi les prof please

SmitFraudFix v2.303

Scan done at 15:12:46,58, 15/03/2008
Run from C:\Users\Utilisateur\Desktop\try\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\p2phost.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\agrsmsvc.exe
C:\Windows\system32\o2flash.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\taskeng.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Utilisateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Utilisateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\UTILIS~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“AppInit_DLLs”=""
“LoadAppInit_DLLs”=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur de réseau NVIDIA nForce
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip…{7FB184A3-6C68-480A-B9D4-F3A3EB20BE32}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip…{7FB184A3-6C68-480A-B9D4-F3A3EB20BE32}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip…{7FB184A3-6C68-480A-B9D4-F3A3EB20BE32}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

le_barbier_fou · Mars 15, 2008, 3:37

SmitFraudFix n’a pas trouvé grand chose.
Quelques petites clés de registre, seulement. Si tu veux, relance SmitFraudFix avec l’option “2” pour t’en débarrasser.
Peux-tu faire une capture d’écran de la “fenêtre énervante” pour que je voie mieux à quel infection tu as à faire ?

Bonne chance !

ikapun · Mars 15, 2008, 5:30

salut
c’est
[url=http://cjoint.com/

zut je fais pour la premier fois capture screen
http://cjoint.com/?dprQeRG7yR
Edité le 15/03/2008 à 17:46

ikapun · Mars 15, 2008, 6:02

http://images3.hiboox.com/vignettes/1108/5sfqxwrr.jpg

je cherche à collé l’image mais je sais pas si ca me reussit, desole

le_barbier_fou · Mars 16, 2008, 2:25

Oui, j’arrive à voir l’image.
Ça pourrait être une infection Spyware Secure, une bestiole qui te force à acheter son ( faux ) antispyware en prétendant que tu es infecté. Ce malware est coriace, et la majorité des programmes ( comme Spybot ) n’arrive pas à le supprimer entièrement.
Fais une analyse avec Navilog1 pour en être sûr. Regarde la procédure sur cette page, au besoin.

ikapun · Mars 16, 2008, 9:11

Ca s’est le rapport , si tu peux le regarder
, mais depuis le matin je cherche pleins de trucs et j’arrive pas à l’enlever

Search Navipromo version 3.5.0 commencé le 16/03/2008 à 21:01:35,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l’avis d’un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\Windows ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\ProgramData ***

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

*** Recherche dossiers dans c:\users\utilisateur\appdata\roaming\microsoft\windows\start menu\programs ***

*** Recherche dossiers dans C:\Users\Utilisateur\AppData\Local\virtualstore\Program Files ***

*** Recherche dossiers dans C:\Users\Utilisateur\AppData\Roaming ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d’infos : www.gmer.net…

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

Recherche dans C:\Windows\system32 *
Recherche dans C:\Users\Utilisateur\AppData\Local\Microsoft *
Recherche dans C:\Users\Utilisateur\AppData\Local\virtualstore\windows\system32 *
Recherche dans C:\Users\Utilisateur\AppData\Local *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

Dans C:\Windows\system32 :
Dans C:\Users\Utilisateur\AppData\Local\Microsoft :
Dans C:\Users\Utilisateur\AppData\Local\virtualstore\windows\system32 :
Dans C:\Users\Utilisateur\AppData\Local :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :

*** Analyse terminée le 16/03/2008 à 21:07:38,82 ***

ikapun · Mars 17, 2008, 11:29

salut
le program n’a detecté aucun rotkit mem après un deep can , la fenetre est tjr la

Lustu · Mars 17, 2008, 12:26

Essaye hijackthis ici tu le lance tu clic sur Do a system scan and save a logfile et tu post le rapport.
@+ :jap:

le_barbier_fou · Mars 17, 2008, 6:24

Navilog1 n’a rien détecté. Ca ressemble à du Spyware Secure, mais ce n’est pas du Spyware Secure. :arf:
En effet, on pourrait t’aider à le supprimer manuellement avec un rapport hijackthis. C’est une bonne idée.
Sinon, tu pourrais scanner le PC avec Malwarebytes Antimalware qui résout beaucoup de problèmes de spywares en ce moment, mais pour ne pas surcharger ton PC, poste d’abord un rapport hijackthis.

Lustu · Mars 18, 2008, 9:35

oui, ou c’est peut etre une nouvelle variante je vais aller voir ça sur le net des fois que je trouve un truc.
Ah oui , ikapun, une image de ta pub ce serait bien.
@+ jap:

le_barbier_fou · Mars 19, 2008, 1:49

Il l’a communiquée plus haut.

C’est peut-être une nouvelle variante, mais alors c’est bizarre que le moteur heuristique intégré à Navilog1 ne trouve rien.