Bonjour à tous,
 
Je viens tout juste de m'inscrire dans un but bien précis, me faire depanner au sujet d'une bécane qui n est pas la mienne et qui porte les marques d'infections multiples...
Le principal probleme venait du trojan smitfraud.C (j ai lu quasiment tout ce que le forum offrait d info à son sujet),mais cette machine tournant sous XP (je ne le connait pas trop) et contenant des données qui ne doivent pas etre crashées,je n ose pas trop toucher sans bien savoir, c est pourquoi je m en remet à vous...
j ai reussi a eradiquer une partie du probleme avec ad-aware SE, spybot, regseeker, car je n ai plus le fond d ecran du trojan, et les onglets des proprietes du bureau ont apparament été restauré dans la bdr, en revenche,les services de connexion de marche toujours pas..., et j ai lu sur ce forum qu'il fallait les utilitaires hoster,killbox, cleanup, le smitfraud.reg et le domains.inf (je dit les noms de memmoire mais on parle bien des memes),et dans ces utilitaires, n'y en aurait il pas un qui sert a restaurer ces connexions? (genre hosters par exemple....?) car la becane en question est a 10 km de chez moi, et les softs que j ai passé dessu n etaient pas a jours...(forcement pas de connex...et oui je sais, ils ont pas du servir a grand chose...)
donc est t il possible dans un premier temps de remettre la connex. que je puisse etre un peu plus efficace directement de la bas? de plus,j ai egalement pu eradiquer coolwebsearch, et d autres, mais une fenetre me dit a chaque fois que j essaie de me connecter ou que je lance une applique un peu "serieuse", que fltmgr.dll n est pas une image windows valide...(encore une fois de memoire...le nom de la dll j en suis sur mais pour le terme "image", je confonds peu etre... )
enfin, un anti spy et malware est present sur la machine (PS Guard), et est inconnu au batillons des soft de ce genre, et surpprise, il trouve plein de trucs des le demarrage,mais propose de payer pour les eraiquer...lol...donc en plus des trojan ya du spamm la dessous non? (genre seeve.exe ?)alors, dans l attente de vos réponses au combien éclairantes, merci.
(je sais qu'il existe deja plusieur post sur le meme sujet, mais j ai lu un post ou on conseillait de démarrer un nouveau sujet,
car les infos finissent pas ce noyer dans les trop nombreux post auquels tout le monde se greffent...oula...chaud la phrase)
 
 
voici le log de la machine:
===========================
Logfile of HijackThis v1.99.1
Scan saved at 20:20:36, on 22/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\combo.exe
C:\WINDOWS\seeve.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\netddeclnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\Briçou\Bureau\secu\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 www.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 www.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [loader32] C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
===================================================
 
kikiflaouid

heu...ya des logs qui ont été postés apres le mien et qui on déjà des réponses...c'est que cette machine necessite une plus grosse intervention? (ou bien que je vous saoule avec mes questions...?)

 
Oui...

merci stonangel de regarder...
j ai deja trouvé pas mal de chose (pas comment les resoudre, mais analyser un peu le log); mais ya bcp a faire, et j ai un peu de mal a voir toutes les interactions et du coup les bonnes manip à faire dans le bon sens...
encore merci.

heu stoneangel...
je viens de recevoir d un autre forum une grosse soluce...J'ai le droit de la poster ici??
 
...enfin juste pour te prevenir que du coup je vais allez tester ce tuto sur la machine dimanche soir... m'as l'air complet...cette soluce m'as été donné par chercheurPCA sur info du net.
je te tiens au courant...
encore merci

Merci je connais chercheurPCA... Si tu veux la poster, no problem.

Re tout le monde,
 
alors voila la soluce au log que j'ai posté (qui debute ce topic)...on sait jamais, ca peut en aider certain
 
par ChercheurPCA:
===========================
 
1 Télécharge les outils suivants:
 
DelDomain.inf  
http://www.mvps.org/winhelp2002/restricted.htm
clic droit / Enregistrer la cible sous... Mettre sur le bureau.
 
CCleaner
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
 
Hoster
http://www.funkytoad.com/download/hoster.zip
Ensuite, tu le dézippes sur ton bureau.
 
LSPfix
http://www.cexx.org/lspfix.htm
 
 
2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne  
"Network DDE Client" / double clique sur la ligne  
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\netddeclnt.exe" / dans Type de démarrage,  
sélectionne Désactiver / valide la modification.
 
Clique sur Démarrer, Exécuter, puis tapes cmd et OK.
Copie/Colle la ligne suivante dans la fenêtre.
sc delete NetDDEclnt
Et appuie sur Entrée.
Ferme la fenêtre.  
 
 
3 Désinstalle via Ajout/suppression des programmes du panneau de configuration, les programmes suivants (si tu les trouves):
 
PSGuard
 
4 Redémarre en mode sans echec Rémarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.  
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
 
4 Relance un scan HijackThis et coche les lignes ci-dessous :
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R3 - Default URLSearchHook is missing
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 www.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 www.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [loader32] C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe
 
Ferme toutes les fenêtres Internet Explorer, Outlook Express sauf Hijackthis,puis clique sur Fix checked
 
5 Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).
 
Sélectionne toutes les instances des dll suivantes
 
fltmgr.dll
 
et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
Clique sur le bouton "Finish".
 
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
 
7 Supprime les dossiers suivants (si tu les trouves):
 
C:\Program Files\PSGuard
C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
C:\WINDOWS\DOWNLO~1\ipreg32.dll
C:\WINDOWS\seeve.exe
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\System32\netddeclnt.exe
C:\WINDOWS\System32\combo.exe
C:\WINDOWS\System32\KYSVCXD.EXE
combop.exe --> Fais une recherche sur l'ordinateur.
 
8 Redémarre normalement
 
9 Lance Hoster - Toadbee et clique sur " Restore original Hosts "
 
10 Fais un clic droit le fichier Del_Domains.inf -->Installer
 
11 Lance et exécute CCleaner
 
12 Redémarre et poste un nouveau rapport hijackthis.
===========================
encore un grand merci a lui (meme si jai pas encore testé, mais je vous tiens au courant quand au succes de cette demarche...)et à tout le monde...
a+

salut
pour smirtfraud je doute que cela suffise
il faut utiliser le reg

 
Salut balltrap vu la réponse de Chercheur, c'est pas Smitfraud...

salut stonangel
 
au vu de cette ligne
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
cela correspond a une infection smirtfraud

 
Exact balltrap bien vu... Elle m'avait échappé.

Oui, mais on peut s'en sortir sans le .reg.

si tu ne l utise pas il faut faire le nettoyage de la base de registre a la main et la risque de plantage
si tu veut le reg modifier pour smirtfraud c tient
http://pageperso.aol.fr/balltrap34/smitfraud2.zip
tu le decompresse ensuite tu double clik sur le reg et tu confirme

En effet. Mais dis-moi, ce n'est pas toi qui a fait ce .reg. J'espère que tu as une autorisation pour le mettre sur ton site ?

j ai rajouter sur se reg des lignes pour le smirtfraud c

j ai rajouter sur se reg des lignes pour le smirtfraud c

bonjour a tous,
tout dabord, merci de l attention que vous voulez bien porter à mon probleme...
 
en effet, j avais moi aussi cru comprendre qu'il fallait employer le fichier smitfraud.reg que j ai deja...(et dont l utilisation n apparait pas dans la soluce chercheurPCA)...
Duccoup, a quel moment dois-je l utiliser...(en dernier...avant le passage de cleanup?)
de plus, quelqu'un pourrai t il verifier le fichier smitfraudc.reg de balltrap34...?(c'est pas que je ne te fais pas confiance balltrap34, mais je n'ai moi meme pas les competences pour ca, et tu dis l avoir changé...moi celui que j ai correspond a une soluce de desinfections de smitfraud.C...donc je ne sais pas ce que tu as modifié, mais la becane et ses données sont sensibles...et pas a moi en plus!)
bon, je vasi de toute facon allez en parler avec chercheurPCA...
encore merci et a bientot, je vous tiens au jus...

ChercheurPCA ne connais peut-être pas ce .reg.
En tout cas, ce .reg là, il est fiable :
http://metallica.geekstogo.com/smitfraud.reg
     

Je viens de vérifier pour celui de BallTrap, il est OK aussi.  

re tout le monde...
bon...concernant mes problemes d infections...plus de problemes! (pour smitfraud, chercheurPCA a ecrit:"J'ai lu ce qui as été dis sur Hardware. Tu expliques bien que tu as éradiqué Smitfraud ( plus de fond d'écran bleu, onglets récupèrés, .. ). Donc, pour moi, pas besoin de Smitfraud.reg"...apparament, PSguard peu etre present apres eradication du troj smitfraud...en tout cas, mon log est propre...
en revenche un probleme persiste (sans savoir si il a eu un lien avec les infections...) : Impossible de remettre la connexion internet. Dans le gestionnaire de perif, j ai "controleur ethernet" et "controleur RAID" avec le point d exclamation jaune, et impossible de reinstaller le "controler ethernet" (l autre j ai meme pas essayé, je voulais surtout la connex pour mettre les softs de secu a jours...)
le probleme, c est que la CM est une asus A7N8X-E nforce2 ultra400, sans le CD d origine! (tssss...). J ai donc récupérer les drivers (uniquement ceux de LAN marvell gigabit) aujourd'hui meme, et j'ai pas encore été essayer...une question demeure, hier soir, j'ai réinstallé les driver rézo d'origine (via un skeud gravé qui etait dans la boite de la CM), et ca n'a pas touché au controler ethernet (le probleme demeure)...la j ai les derniers drivers mais est ce que ca ne va pas faire la meme chose (ok pour la carte rézo, mais le controleur???)?
j'ai également changé la config modem d'USB vers RJ45 en reinstallant le kit...(cable USB disparu, et besoin pressant de se connecter, j ai donc migrer en RJ45)et comme je n avais toujours pas de connex, bah j ai été voir le gestionnaire de perifs, et la...bah...comme j ai dit un peu plus haut...le point d'exclamation...et ce, sans savoir si le probleme etait deja la avant la migration en RJ45...du coup bah...procedure habituelle, je voudrais au moins reussir a reinstaller le controler avant de continuer a me plaindre...lol
enfin...si quelqu'un peut m'aiguiller, merci.
a+