411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
salut
il y a ici quelques fichiers et dossiers crées en meme temps que intell32 sur ces post:
http://www.commentcamarche.net/forum/affich-1749623-infection-spysheriff
http://www.commentcamarche.net/forum/affich-1749577-Infect%E9-par-Stealth-Hjack
a+
il y a ici quelques fichiers et dossiers crées en meme temps que intell32 sur ces post:
http://www.commentcamarche.net/forum/affich-1749623-infection-spysheriff
http://www.commentcamarche.net/forum/affich-1749577-Infect%E9-par-Stealth-Hjack
a+
y en a quelques uns en effet, certains sont dans le fix
pour d'autres c'est plus difficile de savoir si c'est lié ou pas
pour d'autres c'est plus difficile de savoir si c'est lié ou pas
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut moe31
Je vais approfondir ces logs demain.
Depuis les fix en v1.8 utilisés dans les liens ci-dessus, j'ai ajouté certains fichiers .ico, .url, .lnk, les tool?.exe, __delete_on_reboot__*.exe, svcnt32.exe ainsi que la clé O4 - HKLM\..\Run: [Start Page]
j'attend aussi d'en savoir un peu plus sur worldantispy et d'avoir une copie d'un wininet.dll pour trouver un moyen d'identifier l'infection du fichier.
Comme il n'y a pas modification du fond d'ecran, je pencherai plutot pour un nouveau fix qui effacerai la clé:
[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com]
et un remplacement de wininet.dll
a+
Je vais approfondir ces logs demain.
Depuis les fix en v1.8 utilisés dans les liens ci-dessus, j'ai ajouté certains fichiers .ico, .url, .lnk, les tool?.exe, __delete_on_reboot__*.exe, svcnt32.exe ainsi que la clé O4 - HKLM\..\Run: [Start Page]
j'attend aussi d'en savoir un peu plus sur worldantispy et d'avoir une copie d'un wininet.dll pour trouver un moyen d'identifier l'infection du fichier.
Comme il n'y a pas modification du fond d'ecran, je pencherai plutot pour un nouveau fix qui effacerai la clé:
[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com]
et un remplacement de wininet.dll
a+
istbar aussi et d'autre
soit les pc etaient vraiment déjà infectés ou alors cette saleté envois une multi infection
soit les pc etaient vraiment déjà infectés ou alors cette saleté envois une multi infection
y a une variante qui fait ca:
http://www.webhelper4u.com/CWS/Research/screenimages/searchterrordesktop.html#Logfile%20of%20HijackThis%20v1.99.1
et elle a du evoluer depuis qu'elle est sortie...
http://www.webhelper4u.com/CWS/Research/screenimages/searchterrordesktop.html#Logfile%20of%20HijackThis%20v1.99.1
et elle a du evoluer depuis qu'elle est sortie...
Smitfraud est la partie visible de l'iceberg car le fond d'ecran est modifé.
Le problème vient souvant des infections par un trojan downloader small. Ce type de trojan est très (très) souvant un faux crack.
small se connecte à un serveur et download un autre virus.
Suivant la version de small, les serveurs sont différents ainsi que les infections. C'est sans fin... du moment que la machine est vérolée, c'est une porte ouverte aux autres virus.
J'en ai discuté avec un compagnon de route de noahdfear (smitrem.exe) Il se contente de rétablir le fond d'écran, si possible de remplacer wininet.dll et d'effacer le reste des infections avec hijackthis...
Le problème vient souvant des infections par un trojan downloader small. Ce type de trojan est très (très) souvant un faux crack.
small se connecte à un serveur et download un autre virus.
Suivant la version de small, les serveurs sont différents ainsi que les infections. C'est sans fin... du moment que la machine est vérolée, c'est une porte ouverte aux autres virus.
J'en ai discuté avec un compagnon de route de noahdfear (smitrem.exe) Il se contente de rétablir le fond d'écran, si possible de remplacer wininet.dll et d'effacer le reste des infections avec hijackthis...
salut s!ri
oui c'est sur
mais dans beaucoup de rapport de scan av j'ai finallement pas beaucoup vu de crack infectés par un downloader ?
a+
oui c'est sur
mais dans beaucoup de rapport de scan av j'ai finallement pas beaucoup vu de crack infectés par un downloader ?
a+
Je n'ai pas de liens sous la main pour te montrer les logs de ce que j'avance... mais j'ai vu de nombreux crack et keygen detectés comme étant des trojan-downloader.
Au fait, depuis quelques jours Spybot Search & Destroy detecte spysherrif et smitfraud.C:
http://www.safer-networking.org/fr/updatehistory/index.html
Au fait, depuis quelques jours Spybot Search & Destroy detecte spysherrif et smitfraud.C:
http://www.safer-networking.org/fr/updatehistory/index.html
je te crois sur parole lol
mais je crois aussi qu'une faille de ce genre:
http://www.frsirt.com/bulletins/69
ou une i-frame piégée peuvent aussi etre responsable de cette saleté.
c'est une bonne chose que spybot, detecte et elimine (j'espere !) smitfraud et spysheriff
a++
mais je crois aussi qu'une faille de ce genre:
http://www.frsirt.com/bulletins/69
ou une i-frame piégée peuvent aussi etre responsable de cette saleté.
c'est une bonne chose que spybot, detecte et elimine (j'espere !) smitfraud et spysheriff
a++
il detecte mais vas t il pouvoir reparer je pense pas
mais si il detecte au moins ceux qui ont spybot il seront bloquer par celui ci c est deja ca de gagner
mais si il detecte au moins ceux qui ont spybot il seront bloquer par celui ci c est deja ca de gagner
lol
i-frame via IE et aussi par email via les failles OE...
Oui, c'est une bonne chose. Cela faisait un moment en fait que SpyBot S&D détectait ces infections.. mais une nouvelle mise à jour est parue depuis peu.
Il faudra tester si wininet.dll est aussi corrigée. Ce que ne semble pas faire la plupart des antivirus :-(
i-frame via IE et aussi par email via les failles OE...
Oui, c'est une bonne chose. Cela faisait un moment en fait que SpyBot S&D détectait ces infections.. mais une nouvelle mise à jour est parue depuis peu.
Il faudra tester si wininet.dll est aussi corrigée. Ce que ne semble pas faire la plupart des antivirus :-(
oui, c'est vrai que les av n'arrivent pas bien à corriger wininet.
je crois que valou sur ce post:
your computer is infected" en fond d'éc
risque de t'envoyer le wininet infecté.
a+
je crois que valou sur ce post:
your computer is infected" en fond d'éc
risque de t'envoyer le wininet infecté.
a+
apres teste de spyboot
apparament il remet le fond d ecran
spyscerif resiste et pour la wininet je sais pas encore
moe si je rentre pas se soir tu peut prendre la suite pour voir
http://www.commentcamarche.net/forum/affich-1781317-Spysheriff#2005-09-06%2010%3A16%3A14
merci
apparament il remet le fond d ecran
spyscerif resiste et pour la wininet je sais pas encore
moe si je rentre pas se soir tu peut prendre la suite pour voir
http://www.commentcamarche.net/forum/affich-1781317-Spysheriff#2005-09-06%2010%3A16%3A14
merci
salut s!ri
Est ce qu'il serait possible de rajouter ces fichiers au fix, on les voient de + en + dans une nouvelle variante : security 2k
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\system32\ld???.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\msvol.tlb
http://sandbox.norman.no/live_2.html?logfile=309098
et peut etre ces entrées dans le registre à vérifier
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
Value: wininet.dll
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\ run
Value: nvctrl.exe
SOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}
SOFTWARE\Classes\NVideoCodek.Chl
http://www.sosordi.net/Depannage/Question.93881.html
a++
Est ce qu'il serait possible de rajouter ces fichiers au fix, on les voient de + en + dans une nouvelle variante : security 2k
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\system32\ld???.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\msvol.tlb
http://sandbox.norman.no/live_2.html?logfile=309098
et peut etre ces entrées dans le registre à vérifier
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
Value: wininet.dll
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\ run
Value: nvctrl.exe
SOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}
SOFTWARE\Classes\NVideoCodek.Chl
http://www.sosordi.net/Depannage/Question.93881.html
a++
ca a l'air de se confirmer pour cette clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
wininet.dll mscornet.exe
kernel32.dll C:\WINDOWS\System32\mssearchnet.exe
nvctrl.exe nvctrl.exe
http://www.webuser.co.uk/forums/showflat.php?Number=221927
a+
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
wininet.dll mscornet.exe
kernel32.dll C:\WINDOWS\System32\mssearchnet.exe
nvctrl.exe nvctrl.exe
http://www.webuser.co.uk/forums/showflat.php?Number=221927
a+
Salut moe,
Je vais ajouter cela. Je te tiens au courant.
Je suis en train de faire des recherches sur ces clés:
http://www.commentcamarche.net/forum/affich-1794228-log-hijackthis-%E0-v%E9rifier-Nsag-b-et-PSGuard
Je vais réflechir à un moyen de scanner le registre en adaptant regsearch afin de rechercher la séquence PSGuard. Si le temps de scan n'est pas trop long, le résultat sera intégré au rapport de la sélection 1.
merci
a++
Je vais ajouter cela. Je te tiens au courant.
Je suis en train de faire des recherches sur ces clés:
http://www.commentcamarche.net/forum/affich-1794228-log-hijackthis-%E0-v%E9rifier-Nsag-b-et-PSGuard
Je vais réflechir à un moyen de scanner le registre en adaptant regsearch afin de rechercher la séquence PSGuard. Si le temps de scan n'est pas trop long, le résultat sera intégré au rapport de la sélection 1.
merci
a++
