[IE] Spysherrif.. navigateur web marche plusRésolu/Fermé

Question

Bonjour a tous! Avant tout bonne année. Voici mon souci :La semaine dernière, j'ai été infecté par un virus: spysherrif alors que je naviguais sur le net. Il s'est installé tout seul; m'a dit que j'avais pas mal de spyware sur mon DD. Bref.. Je lance spybot qui me dit que spysherrif est un ver. Je l'élimine grace a spybot. Mais souci: Internet explorer ne s'ouvrait plus. Il me disait: Impossible de trouver file/:c///secure32.html .Bref je me suis rendu sur quelque forum et j'ai vu qu'il fallait utiliser smithfraud. C'est ce que j'ai fait! J'ai fait un rapport, puis j'ai nettoyé en mode sans échec. Le souci c'est que maintenant, quand j'ouvre internet explorer, j'ai plus le ptit mot qui me dit qu'il manque secure32.html, mais j'ai "Impossible de trouver la page"... Je sais plus quoi faire. Je peux pas faire de restauration car j'avais pas de points de restaurations. J'ai analysé avec mes 2 antivirus; avast et avg, mais rien.Spybot ne trouve rien.. Voila, en attendant vos réponses... ou vos idées.. Merci Carl

Utilisateur anonyme · Answer

Salut CarlPeux tu nous donner le rapport option 1 de Smitfraudfix stpa+

Carl · Answer

Rapport Smithfraud option 1: la voila SmitFraudFix v2.16Rapport fait à 13:33:19,38 le 04/02/2006Executé à partir de C:\Documents and Settings\Administrateur\Bureau\AntivirusOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau  »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui""{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant""{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Utilisateur anonyme · Answer

Re,télécharge HijackThis ici: http://www.hijackthis.de/downloads/hijackthis_199.zip  Dézippe le dans un dossier prévu à cet effet. Par exemple C:\hijackthis < Enregistre le bien dans c : ! Démo : (Merci a Balltrap34 pour cette réalisation)   http://pageperso.aol.fr/balltrap34/Hijenr.gif Lance le puis: clique sur "do a system scan and save logfile" (cf démo) faire un copier coller du log entier sur le forumDémo : (Merci a Balltrap34 pour cette réalisation)   http://pageperso.aol.fr/balltrap34/demohijack.htm	Bon courageA+

Utilisateur anonyme · Answer

re,Il a besoin d un bon coup de nettoyage, je l analyse, je vais mettre un peu de temps et je te fournis les manipulationsa tout de suite

CARL · Answer

merci =)

Utilisateur anonyme · Answer

Bonjour, Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 1/Spybot S&D 1.4 <<nouvelle version.http://www.safer-networking.org/fr/index.html Démo d’utilisation (merci à Balltrap34 pour cette réalisation).http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm2/Ad-Aware SE 1.06 <<nouvelle version.http://www.lavasoftusa.com/software/adaware/ -Une aide:http://www.tutopat.com/viewtopic.php?t=1191 - installe le patch français, tu pourras le trouver ici: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).http://pageperso.aol.fr/balltrap34/adawrevid.asf 3/ Ccleaner :http://www.pcastuces.com/logitheque/ccleaner.htm 4/Télécharger VundoFix.exe (par Atribune) sur votre Bureau. http://www.atribune.org/downloads/VundoFix.exe Mais ne le lance pas de suite.---------------------------------------------------------------------------- ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer !---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :   O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awvtt.dll (file missing)  O2 - BHO: ATLDistrib Object - {659E147E-BD03-4605-988C-AA6D7EA497CA} - C:\WINDOWS\System32\awvtr.dll O4 - HKLM\..\Run: [Audio Driver] C:\WINDOWS\System32\msadrv.exe O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exeO4 - HKLM\..\Run: [MSNS PLUS XP2]msdupd.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe O4 - HKLM\..\RunServices: [SysFirewall] sysfirewall.exe O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msdupd.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe O4 - HKCU\..\RunServices: [SysFirewall] sysfirewall.exe O20 - Winlogon Notify: awvtr - C:\WINDOWS\System32\awvtr.dll O20 - Notify: awvtt - awvtt.dll (file missing) O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_13.dll (file missing) ---------------------------------------------------------------------------- ¤Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5).  ----------------------------------------------------------------------------¤Vide tes fichiers temps et temporary internet file: :: Supprimer les fichiers temporaires :: vider tout le contenu de ces dossiers. * C:\Documents and Settings	on compte\Local Settings\Temp * C:\Documents and Settings	ous les autres comptes\Local Settings\Temp * C:\Windows\Temp :: Le contenu du dossier prefetch :: * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini * Ne pas oublier de vider la corbeille !----------------------------------------------------------------------------¤Recherche et supprime ceci: attention seulement les fichiers  (si présents).C:\WINDOWS\System32\msadrv.exe C:\Program Files\MediaGatewaymsdupd.exe winsvc32.exesysfirewall.exe ----------------------------------------------------------------------------Execute le fix Vundo.* Double-clique VundoFix.exe afin de le lancer.* Coche Run VundoFix as a task* Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok* Clique sur le bouton Scan for Vundo.* Lorsque le scan est complété, clique sur le bouton Remove Vundo.* Une invite te demandera si tu veux supprimer les fichiers, clique YES* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK* Démarre ton PC à nouveau.* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans votre prochaine réponse dans le forum.----------------------------------------------------------------------------¤ Lancer et exécuter Ewido pour un scan complet et copier/coller le rapport en forum.----------------------------------------------------------------------------¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…----------------------------------------------------------------------------¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…-------------------------------------------------------------------------------------------¤ Lance le nettoyage avec CCleaner. ----------------------------------------------------------------------------¤ Vide ta Corbeille.----------------------------------------------------------------------------¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.Précise tes soucis s’il en reste.... Tiens-moi au courant  A+

CARL · Answer

RE! je suis en train de suivre ta méthode!quand j'arrive a la partie avec vundoFix; j'ai un ptit souci.Quand je lance vundoFix.exe que j'ai téléchargé  uniquement a partir de ton lien, (pas encore installé, c'est bien celuil la dont tu parlais?) , et bien ca minstalle le programme dans bureau/vundofix/vundofix/ . Dans ce dossier, il n'y a que des fichiers lancant MsDos (invite de commande) et un truc de registre. Mais pas de logiciel avec sa propre interface a proprement dit. voila. Dois je sauter cette étape?

Utilisateur anonyme · Answer

Re,Oui dans la 1ere partie, je te demandes juste d installer les programmes sans lancer les scans.Quand tu cliques sur ce lien:http://www.atribune.org/downloads/VundoFix.exe Dans la partie a gauche, clik sur BureauPuis enregistreIl va y avoir une icone sur ton bureau appeller vundo.Si cette icone est sur le bureau c est ok.Il te suffira lorsque je te le dirais dans la manip de double clik sur l icone et de suivre la procedurea+

CARL · Answer

Salut; Voila j'ai terminé la procédure!Voila ce que ca donne----Rapport VundoFixVundoFix V4.2.16Scan started at 15:41:58 04/02/2006Listing files found while scanning....C:\WINDOWS\System32\awvtr.dllC:\WINDOWS\System32\rtvwa.iniC:\WINDOWS\System32\rtvwa.bak1C:\WINDOWS\System32\rtvwa.bak2C:\WINDOWS\System32\rtvwa.ini2C:\WINDOWS\System32\rtvwa.tmpC:\WINDOWS\system32\rtvwa.bak1C:\WINDOWS\system32\rtvwa.bak2C:\WINDOWS\system32\rtvwa.tmpC:\WINDOWS\system32\rtvwa.iniC:\WINDOWS\system32\rtvwa.ini2C:\WINDOWS\system32\awvtr.dll Attempting to delete C:\WINDOWS\System32\awvtr.dllC:\WINDOWS\System32\awvtr.dll Has been deleted! Attempting to delete C:\WINDOWS\System32\rtvwa.iniC:\WINDOWS\System32\rtvwa.ini Has been deleted! Attempting to delete C:\WINDOWS\System32\rtvwa.bak1C:\WINDOWS\System32\rtvwa.bak1 Has been deleted! Attempting to delete C:\WINDOWS\System32\rtvwa.bak2C:\WINDOWS\System32\rtvwa.bak2 Has been deleted! Attempting to delete C:\WINDOWS\System32\rtvwa.ini2C:\WINDOWS\System32\rtvwa.ini2 Has been deleted! Attempting to delete C:\WINDOWS\System32\rtvwa.tmpC:\WINDOWS\System32\rtvwa.tmp Has been deleted!Performing Repairs to the registry.Done!-----Rapport HiJackThisLogfile of HijackThis v1.99.1Scan saved at 15:48:06, on 04/02/2006Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exeO4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exeO4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exeO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocxO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe-----Rapport Ewido ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		16:32:38, 04/02/2006 + Somme de contrôle:	798DC3D3 + Résultats du scan:	C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder	C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014794.bat -> Downloader.Ftp.bt : Nettoyer et sauvegarder	C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014795.exe -> Backdoor.IRCBot.az : Nettoyer et sauvegarder	C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014796.exe -> Backdoor.Rbot : Nettoyer et sauvegarder	C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014816.dll -> Trojan.Agent.nl : Nettoyer et sauvegarder::Fin du rapport------ Voila, ya til encore des merdes sur le DD...;en tout cas..; Internet Explorer remarche !!! Donc un grand merci a toi régis pour ton aide!!Si tu vois quelque chose de plus sur ces rapports, préviens moi! A + CARL

Utilisateur anonyme · Answer

Salutfais tes mises a jour, met le sp2http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fra+

nigele · Answer

bj,

J'ai connu ce problème et l'ai résolu de cette façon : 

1/ ouvrir IE avec siri.urz.free.fr...
Quand c'est téléchargé, ouvrir l'extraire avec un logiciel de dézippage si tu en as pas (alzip,winzip...)
se souvenir de l'endroit où vous allez l'extraire.

2/ Double cliquer sur le dossier puis sur le fichier smitfraudfix.cmd
une fenêtre d'option s'affiche, sélectionner recherche en tapant 1 et appuyer sur la touche entrée du clavier pour voir les infections présentes.

3/ Une fois le rapport fait, redémarrer le micro en mode sans échec : tapoter sur la touche F8, puis sélectionner l'option mode sans échec et entrée.
Dans l'écran suivant selectionner la ligne microsoft windows XP edition familiale, puis entree et ouvrir une session avec votre compte utilisateur. 

Répétez l'étape 2 mais cette fois sélectionner l'option nettoyage en tapant 2 et entrée pour lancer le nettoyage.
Quand le programme vous demande si vous voulez nettoyer dites oui en tapant la lettre O et puis entrée.

Voilà...

nigele · Answer

Important : voici le lien http://siri.urz.free.fr/Fix/SmitfraudFix.zip

[IE] Spysherrif.. navigateur web marche plus

12 réponses

Discussions similaires

Newsletters