[Hell_Paladin]

Bonsoir, j'aimerais savoir si quelqu'un pourrais m'aider, jai cliquer par inadvertance *autoriser se scrypte* lorsque smitfraud a tenter d'entrer dans mon ordinateur. Depuis se jour, je contrôle plus ou moins les spyware qui s'infiltrent. SVP aidez moi! J'ai lu plusieurs forums a propos de choses semblable, et si sa peu aider j'ai passer des scans de smitfraudfix, aboutbuster et hijackthis et je peux le log de hijackthis. Merci d'avance!!

Log supprimé - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe 

[!aur3n7]

Bonjour Hell_Paladin,

On va commencer par un scan complémentaire

=> Télécharge haxfix.exe (Marckie) http://users.telenet.be/marcvn/tools/haxfix.exe

* Lance haxfix.exe pour lancer l'extraction des fichiers. (par défaut c:\program Files\haxfix)
* Coche la case [X] "Create a desktop icon" (mettre un raccourci sur le bureau)
* Une fois l'installation terminée, contrôle que la case [X] "Launch HaxFix" soit cochée
* Clique sur "Finish"
-- Une fenêtre sur fond rouge s'ouvrira avec les options suivantes:

1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

* Entre le choix 1 (Make logfile) puis valide avec la touche [Entrée]
* Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: (c:\haxlog.txt)
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Attention: N'utilise en aucun cas une autre option sans y avoir été invité !!!

Bonne journée 

[Hell_Paladin]

Ok, voici ce que ca ma donner ( Désolé pour le temps de réponse, mais je vis au Québec et mon fuseau horaire n'est pas le meme! )

HAXFIX logfile - by Marckie
______________
version 4.28
2006-11-09 16:26:35,12

checking for haxdoor
--------------------
checking for a3d files....
a3d files not found

checking for matching notify keys....
no matching notify keys found

checking for matching services....
no matching services found

checking for matching safeboot services....
no matching safeboot services found

checking for other haxdoorfiles....


Checking for goldun
-------------------

checking for SSODL keys....
no ssodl keys found

checking for notify keys....
xartcd5

checking for services....
xartcd7

checking for other goldunfiles....


Finished 

[!aur3n7]

Bonsoir,

=> Lance Haxfix
-- Soit en utilisant l'icone sur le bureau soit en ouvrant le dossier C:\Program Files\haxfix puis lance par un double clique le fichier fix.bat
-- Ferme toutes les autres applications, car Haxfix redémarerra l'ordinateur.
* Choisis l'option 2 (Run auto fix) puis valide par la touche [Entrée]
-- Si l'infection est trouvée, un message s'affichera demandant de fermer toutes les autres applications.

* Ferme toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis valide par la touche [Entrée]
-- L'ordinateur redémarrera
* Au démarrage de l'ordinateur le rapport s'affichera. Fais en un copier coller dans ta prochaine réponse

Post egalement un nouveau log Hijackthis fait en mode normal pour continuer la desinfection.

Bonne soirée 

[Hell_Paladin]

HAXFIX logfile - by Marckie
--------------
version 4.28
2006-11-09 16:59:12,14

--- Auto Haxdoorfix ---


searching for files:

no infections found


--- Goldunfix ---


searching for files:

searching for SSODLkeys:
no SSODLkeys found

searching for notifykeys:
xartcd5

searching for services:
xartcd7


deleting service xartcd7
[SWSC] DeleteService SUCCESS


.....rebooting the computer.....


searching for ssodlkeys

not needed


searching for notifykeys

notifykey xartcd5 not found


searching for services

service xartcd7 not found


searching for safeboot services

not needed


searching for files

xartcd5.dll exists
deleting xartcd5.dll
xartcd5.dll has been deleted

xartcd7.sys exists
deleting xartcd7.sys
xartcd7.sys has been deleted


checking for other files

ksl48.bin exists
deleting ksl48.bin
ksl48.bin has been deleted


checking for a3d files

no a3d files found


Finished

et le hijackthis

Log supprimé - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe 

[!aur3n7]

=> Rend toi sur ce site http://virusscan.jotti.org/
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

C:\WINDOWS\system32\dmiyx.exe

* Clique sur sur submit
* Après le scan le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse

Note :
Le scan peut, suivant la charge du serveur, prendre un peu de temps; Sois patient. 

[Hell_Paladin]

Hum... quand j'essaye de le faire voici ce que sa me dit : The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file 

[!aur3n7]

Ok donc il reste quelque chose la dessous on va essayer un scan en ligne donc qui nous donnera probablement plus d'indication

=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html
-- Clique sur l'image Analyser votre PC
-- Complète ou rempli les champs demandés (province et E-mail)
-- Clique sur l'image analyser gratuitement maintenant pour continuer
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport
-- Pour le retrouver facilement met le sur le bureau
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 

[Hell_Paladin]

Bonjour, voici ce que ca ma donné quand j'ai scanner hier.
Incident Statut Analyse

Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a26-71eaf227.zip[Gummy.class]
Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a26-71eaf227.zip[Counter.class]
Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a26-71eaf227.zip[VerifierBug.class]
Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-6c355a1c.zip[Gummy.class]
Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-6c355a1c.zip[Counter.class]
Hacktool:Exploit/ByteVerify No Désinfecté C:\Documents and Settings\Gaston T\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-6c355a1c.zip[VerifierBug.class]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Gaston T\Bureau\SmitfraudFix\Process.exe
Virus Eventuel. No Désinfecté C:\Documents and Settings\Gaston T\Bureau\SmitfraudFix\swsc.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Gaston T\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Virus Eventuel. No Désinfecté C:\Documents and Settings\Gaston T\Bureau\SmitfraudFix.zip[SmitfraudFix/swsc.exe]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Gaston T\Cookies\gaston t@bluestreak[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Gaston T\Cookies\gaston t@errorsafe[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Gaston T\Cookies\gaston t@www.errorsafe[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Gaston T\Cookies\gaston t@xiti[1].txt
Dialer:Dialer.IIM No Désinfecté C:\Documents and Settings\Gaston T\Local Settings\Temp\apihelp.chm
Adware:Adware/SpySheriff No Désinfecté C:\Documents and Settings\Gaston T\Local Settings\Temp\cbab.exe
Virus:Trj/Spamer.BB Désinfecté C:\Documents and Settings\Gaston T\Local Settings\Temp\lhpb.exe
Virus:Trj/Downloader.KRG Désinfecté C:\Documents and Settings\Gaston T\Local Settings\Temp\omlb.exe
Adware:Adware/SpySheriff No Désinfecté C:\Documents and Settings\Gaston T\Local Settings\Temp\SebJPofm
Virus:Trj/Alanchum.JI Désinfecté C:\explorer1.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Logitech\Video\ISStart.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Logitech\Video\LogiTray.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Logitech\Video\ManifestEngine.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\MSN Messenger\MsnMsgr.Exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Norton AntiVirus\navapw32.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\QuickTime\qttask.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\Sony\SonicStage\SsAAD.exe
Adware:Adware/SystemDoctor No Désinfecté C:\Program Files\SymNetDrv\SNDMon.exe
Adware:Adware/SystemDoctor No Désinfecté C:\WINDOWS\system32\LVCOMSX.EXE1162330238 

[Hell_Paladin]

En tk, je vais me coucher, je vais revenir bientot et j'espère que je viendrai a bout de mes problèmes avec ton aide  

[!aur3n7]

Bonjour,
Bon on va commencer par un nettoyage

- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)



=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware


Note :
AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html


=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

O4 - HKLM\..\Run: [dmiyx.exe] C:\WINDOWS\system32\dmiyx.exe

Toutes les lignes O18 SAUF
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:



---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected


* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner


=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16


=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse


=> Redémarre en mode normal


=> Résultat
- Post les différents rapports obtenus
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

Bon courage. 

[Hell_Paladin]

D'accord, je vais essayer cela et je te reparle plus tard! 

[Hell_Paladin]

Hmm, J'étais rendu a l'étape de jv16-powertools, j'ai passer le scan avec sucès, mais lorsque j'essaye de supprimer les éléments selectionées, ça ne marche pas et la raison est : Entrée programme obsolète ou clé invalide. Que dois-je faire? 

[Hell_Paladin]

Laisse, j'ai reussi a les supprimer. 

[Hell_Paladin]

Ok, j'ai fait un scan comme tu m'avais dit, voici les résultats.

Log supprimé


et hijackthis

Log supprimé - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe