[IE] Spysherrif.. navigateur web marche plus

Salut Carl

Peux tu nous donner le rapport option 1 de Smitfraudfix stp

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Rapport Smithfraud option 1: la voila

SmitFraudFix v2.16

Rapport fait à 13:33:19,38 le 04/02/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\Antivirus
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Re,

télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Re,

Il a besoin d un bon coup de nettoyage, je l analyse, je vais mettre un peu de temps et je te fournis les manipulations

a tout de suite
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Merci =)

Bonjour,

Méthode à suivre dans l'ordre...
------------------------------------------------------------­----------------
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

1/

Spybot S&D 1.4 <<nouvelle version.
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 <<nouvelle version.
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/ Ccleaner :

http://www.pcastuces.com/logitheque/ccleaner.htm

4/Télécharger VundoFix.exe (par Atribune) sur votre Bureau.

http://www.atribune.org/downloads/VundoFix.exe

Mais ne le lance pas de suite.
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awvtt.dll (file missing)

O2 - BHO: ATLDistrib Object - {659E147E-BD03-4605-988C-AA6D7EA497CA} - C:\WINDOWS\System32\awvtr.dll

O4 - HKLM\..\Run: [Audio Driver] C:\WINDOWS\System32\msadrv.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [MSNS PLUS XP2]msdupd.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe

O4 - HKLM\..\RunServices: [SysFirewall] sysfirewall.exe

O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msdupd.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe

O4 - HKCU\..\RunServices: [SysFirewall] sysfirewall.exe

O20 - Winlogon Notify: awvtr - C:\WINDOWS\System32\awvtr.dll

O20 - Notify: awvtt - awvtt.dll (file missing)

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_13.dll (file missing)
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Vide tes fichiers temps et temporary internet file:

:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

C:\WINDOWS\System32\msadrv.exe
C:\Program Files\MediaGateway
msdupd.exe
winsvc32.exe
sysfirewall.exe

----------------------------------------------------------------------------
Execute le fix Vundo.
* Double-clique VundoFix.exe afin de le lancer.
* Coche Run VundoFix as a task
* Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans votre prochaine réponse dans le forum.
----------------------------------------------------------------------------
¤ Lancer et exécuter Ewido pour un scan complet et copier/coller le rapport en forum.
----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
-------------------------------------------------------------------------------------------
¤ Lance le nettoyage avec CCleaner.
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste....

Tiens-moi au courant

A+
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

RE!

je suis en train de suivre ta méthode!
quand j'arrive a la partie avec vundoFix; j'ai un ptit souci.
Quand je lance vundoFix.exe que j'ai téléchargé uniquement a partir de ton lien, (pas encore installé, c'est bien celuil la dont tu parlais?) , et bien ca minstalle le programme dans bureau/vundofix/vundofix/ .
Dans ce dossier, il n'y a que des fichiers lancant MsDos (invite de commande) et un truc de registre. Mais pas de logiciel avec sa propre interface a proprement dit.

voila. Dois je sauter cette étape?

Re,

Oui dans la 1ere partie, je te demandes juste d installer les programmes sans lancer les scans.

Quand tu cliques sur ce lien:
http://www.atribune.org/downloads/VundoFix.exe
Dans la partie a gauche, clik sur Bureau
Puis enregistre
Il va y avoir une icone sur ton bureau appeller vundo.
Si cette icone est sur le bureau c est ok.
Il te suffira lorsque je te le dirais dans la manip de double clik sur l icone et de suivre la procedure

a+

Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Salut;
Voila j'ai terminé la procédure!
Voila ce que ca donne


----
Rapport VundoFix
VundoFix V4.2.16
Scan started at 15:41:58 04/02/2006

Listing files found while scanning....

C:\WINDOWS\System32\awvtr.dll
C:\WINDOWS\System32\rtvwa.ini
C:\WINDOWS\System32\rtvwa.bak1
C:\WINDOWS\System32\rtvwa.bak2
C:\WINDOWS\System32\rtvwa.ini2
C:\WINDOWS\System32\rtvwa.tmp

C:\WINDOWS\system32\rtvwa.bak1
C:\WINDOWS\system32\rtvwa.bak2
C:\WINDOWS\system32\rtvwa.tmp
C:\WINDOWS\system32\rtvwa.ini
C:\WINDOWS\system32\rtvwa.ini2
C:\WINDOWS\system32\awvtr.dll
Attempting to delete C:\WINDOWS\System32\awvtr.dll
C:\WINDOWS\System32\awvtr.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\rtvwa.ini
C:\WINDOWS\System32\rtvwa.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\rtvwa.bak1
C:\WINDOWS\System32\rtvwa.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\rtvwa.bak2
C:\WINDOWS\System32\rtvwa.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\rtvwa.ini2
C:\WINDOWS\System32\rtvwa.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\rtvwa.tmp
C:\WINDOWS\System32\rtvwa.tmp Has been deleted!

Performing Repairs to the registry.
Done!

-----
Rapport HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 15:48:06, on 04/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

-----
Rapport Ewido

ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 16:32:38, 04/02/2006
+ Somme de contrôle: 798DC3D3

+ Résultats du scan:

C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014794.bat -> Downloader.Ftp.bt : Nettoyer et sauvegarder
C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014795.exe -> Backdoor.IRCBot.az : Nettoyer et sauvegarder
C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014796.exe -> Backdoor.Rbot : Nettoyer et sauvegarder
C:\System Volume Information\_restore{3F0EDEF7-C3D6-4CA7-8CB4-50513DC8F109}\RP86\A0014816.dll -> Trojan.Agent.nl : Nettoyer et sauvegarder


::Fin du rapport

------
Voila, ya til encore des merdes sur le DD...;

en tout cas..; Internet Explorer remarche !!! Donc un grand merci a toi régis pour ton aide!!
Si tu vois quelque chose de plus sur ces rapports, préviens moi!


A +

CARL

Salut

fais tes mises a jour, met le sp2

http://update.microsoft.com/windowsupdate/v6/default.aspx?ln­=fr

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Bj,

J'ai connu ce problème et l'ai résolu de cette façon :

1/ ouvrir IE avec siri.urz.free.fr...
Quand c'est téléchargé, ouvrir l'extraire avec un logiciel de dézippage si tu en as pas (alzip,winzip...)
se souvenir de l'endroit où vous allez l'extraire.

2/ Double cliquer sur le dossier puis sur le fichier smitfraudfix.cmd
une fenêtre d'option s'affiche, sélectionner recherche en tapant 1 et appuyer sur la touche entrée du clavier pour voir les infections présentes.

3/ Une fois le rapport fait, redémarrer le micro en mode sans échec : tapoter sur la touche F8, puis sélectionner l'option mode sans échec et entrée.
Dans l'écran suivant selectionner la ligne microsoft windows XP edition familiale, puis entree et ouvrir une session avec votre compte utilisateur.

Répétez l'étape 2 mais cette fois sélectionner l'option nettoyage en tapant 2 et entrée pour lancer le nettoyage.
Quand le programme vous demande si vous voulez nettoyer dites oui en tapant la lettre O et puis entrée.

Voilà...

Important : voici le lien http://siri.urz.free.fr/Fix/SmitfraudFix.zip