SmitfraudFix (DesktopHijack, AVGold...)

Question

Salut,On sera mieux ici pour discuter du projet SmitfraudFix plutôt que de squater les posts des utilisateurs qui ont un problème.a+

balltrap34 · Answer

oki tu as raison

Utilisateur anonyme · Answer

bonne idéeapparement quelques problemes pour virer intell32.exe que ce soit avec le fix ou à la main.Certain le vire du 1er coup et pour d'autres il revient à chaque redemarrage.Peut etre un autre fichier à découvrir..a+

S!Ri · Answer

re'Oui, j'ai vu ca sur un post.J'ai conseillé d'intaller un firewall parcequ'un Windows XP sans SP ni firewall ne va pas faire long feu.Maintenant il y a aussi le problème des fichiers avec un nom aléatoire.Ca complique la recherche automatique...Comme toujours, HijackThis est indispensable.a+

balltrap34 · Answer

je suis pas sur qu il y est un prob pour intel32.exesi il est fait en sans echec il le vire

S!Ri · Answer

Dans ce cas là, c'est vrais que c'est louche:http://www.commentcamarche.net/forum/affich-1687483-Infection-TrojanMaintenant peut être ne l'a t'il pas fait en mode sans echec comme tu dis Balltrap.Quelques messages plus loins, Hijackthis fixe l'entrée du registre sans problèmes...

S!Ri · Answer

Ici aussi:http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/probleme-guard-fait-tutos-sujet-219554-1.htmpourtant le log Hijackthis n'est pas très long, mais je trouve pas ce qui pourrait relancer intell32.exeJe dois partir.a++

balltrap34 · Answer

ceci peut etrevoici un second rapport (celui du mode sans echec a dispau ) mais apres la tuto l'icone indésirable de la barre de tache est revenue alors qu'elle était partie (elle était aussi présente en mode sans echec le nom de l'icone est intell32.dll c'est un symbole "!" dans un cercle rouge puis l'icone est j est la flemme deplucher le fix pour voir si dedans elle yest

Utilisateur anonyme · Answer

faudrait pouvoir faire rechercher les fichiers qui ont été crée à la meme date que intell32.exe, pour voir s'il y en aurait pas quelques uns qu'on ne connait pas

balltrap34 · Answer

SR tu ne connait pas une ligne de commande qui permettrais celacomme cela celui qui est infecter on lui demande la date de creation de intel et si la commande exixte ont lui fait faire

S!Ri · Answer

salut,Bonne idée !!Il faudrait utiliser une ligne de commande du style:dir %windir%/*.* /4 /a /n /-C | find "jj/mm/aaaa"avec jj/mm/aaaa qui correspond à la date./4 pour forcer l'année sur 4 chiffres/a pour tout les attributs (cachés, system...)/n pour le nom long des fichiershttp://www.ss64.com/nt/dir.htmlIl faudrait faire une recherche répertoire par répertoire%windir%, puis %system% ...avec l'attribut /s, on aurait tout les fichiers des sous répertoires, mais pas leur chemin exact dans le listing.Le plus complexe serait d'automatiser la recherche à une date précise.Je vais réflechir à un truc qui permettrait d'isoler la date de creation d'un intell32.exe par exemple et de lister les fichiers créés à la même date.a++

balltrap34 · Answer

une ligne de se genre fonctionnerait dans le cmd

Utilisateur anonyme · Answer

pour eviter de faire rechercher manuellement on peut toujours faire un bat du genredir /a %windir%\system32\intell32.exe>>result.txtnotepad result.txtif exist result.txt del result.txtexitca nous donnerait automatiquement la date de création d'intellet si c'est la meme apres quelques tests, on peut l'intégrer dans la commande de siri pour rechercher les fichiers crées à la meme date non ?

S!Ri · Answer

oui, ca fonctionne dans le cmd.Je souhaiterai l'integrer au fix.Qui isolerait la date de création de intell32.exeet qui listerait les fichiers crées à la même date.

Utilisateur anonyme · Answer

ce serait une bonne idée !!

balltrap34 · Answer

elle marche pas dans le cmdou je fait mal lol

S!Ri · Answer

lol,chez moi ca fonctionne.Ca te met quoi comme erreur ?

balltrap34 · Answer

option non valide -"*.*"

S!Ri · Answer

tu tapes quoi comme commande ?

S!Ri · Answer

essaye comme ca :dir %windir%\*.* /4 /a /n /-C | find "jj/mm/aaaa" C'est moi qui me suis planté quand le l'ai ecrite la 1ere fois...

balltrap34 · Answer

j est fait un copier de ta ligne

S!Ri · Answer

Tu peux essayer ca STP ?-----@echo offdir %windir%\system32\wininet.dll /4 /A /N /-C>result.txttype result.txt | find /i "wininet.dll">result2.txtfor /f "tokens=1" %%a in (result2.txt) do set filedate=%%aecho %filedate%dir %windir%\system32\*.* /4 /A /N /-C | find /i "%filedate%">result.txt if exist result2.txt del result2.txtfor /f "tokens=4" %%a in (result.txt) do echo %%a>>result2.txtnotepad result2.txtif exist result.txt del result.txtif exist result2.txt del result2.txt-----Ca doit t'afficher les fichiers ecrit à la même date que wininet.dll (Celui là est un exemple)

balltrap34 · Answer

resultatbrowseui.dll cdfview.dll iepeers.dll inseng.dll mshtml.dll mshtmled.dll msrating.dll pngfilt.dll shdocvw.dll shlwapi.dll urlmon.dll wininet.dll je l est enregistre comme fichier cmd

S!Ri · Answer

oui, c'est bon ca a l'air de fonctionner.bon, j'intègre ca plus tard dans le fix option 1 (recherche).Le problème des noms aléaloires semble se poser seulement avec des version intell32.exe il me semble ?

balltrap34 · Answer

si tu met intel a la place de wininet cela devrait marcher non!

S!Ri · Answer

Oui,Je vais mettre intell32.exe à la place.Pour l'instant je n'ai vu ce problème de nom aléatoires uniquement avec certaines versions de intell32.exeOn verra bien ce que les logs vont ressortir.

balltrap34 · Answer

oki

Utilisateur anonyme · Answer

par contre, si on remplace dir %windir%\system32\*.*  par %windir%\*.*il y a un message d'erreur qui demande si on veut créer result2.txtpeut etre parce qu'il ne trouve aucuns fichiers crées à la meme date ?a+

balltrap34 · Answer

idem pour moi j ai du mal a comprendre pourquoi

Utilisateur anonyme · Answer

je crois que c'est parce qu'aucun fichier n'a été crée à la meme date donc le fichier result2.txt n'a pas été inscritje viens de faire un testdans system32 je fais un fichier chat.txtdans c:\windows je fais un fichier chien.txtet en mettant %windir%\*.*  à la place de %windir%\system32\*.*  ca marche.@echo off dir %windir%\system32\chat.txt /4 /A /N /-C>result.txttype result.txt | find /i "chat">result2.txt for /f "tokens=1" %%a in (result2.txt) do set filedate=%%a echo %filedate% dir %windir%\*.* /4 /A /N /-C | find /i "%filedate%">result.txt if exist result2.txt del result2.txt for /f "tokens=4" %%a in (result.txt) do echo %%a>>result2.txt notepad result2.txt if exist result.txt del result.txt if exist result2.txt del result2.txt je crois que siri à du calculer tout ca ;-)

balltrap34 · Answer

il faudrait mettre une routine qui renvoie a un textepas de fichier creer le meme jour

Utilisateur anonyme · Answer

siri va se marrer, mais sous cette forme ca marche@echo off dir %windir%\system32\wininet.dll /4 /A /N /-C>result.txt type result.txt | find /i "wininet">result2.txt for /f "tokens=1" %%a in (result2.txt) do set filedate=%%a echo %filedate% dir %windir%\*.* /4 /A /N /-C | find /i "%filedate%">result.txt if exist result2.txt del result2.txt for /f "tokens=4" %%a in (result.txt) do echo %%a>>result2.txt if exist result2.txt (notepad result2.txtif exist result.txt del result.txt if exist result2.txt del result2.txtexit) else (echo aucuns résultats>>res.txtnotepad res.txtif exist result.txt del result.txt if exist res.txt del res.txt exit)

balltrap34 · Answer

lol je suis pas arriver a le faire j ai du mal avec ces lignes de code

balltrap34 · Answer

salutsignaler sur un autre forumIl faudrait signaler à votre équipe que le programme SmitfraudFix.cmd ne peut pas fonctionner comme tel sous Windows 2000. A vérifier également popur Windows 2003. En effet la commande tskill n'existe pas sous Windows 2000 Pro! Pas plus que Tasklist d'ailleurs. Citation: Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. L:\Documents and Settings\Anonyme>tskill 'tskill' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes. L:\Documents and Settings\Anonyme>tskill /? 'tskill' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes. La seule commande semblable est Kill, disponible dans Windows 2000 Support Tools présent sur le CD, mais qu'il faut installer. Et la syntaxe est différente.

balltrap34 · Answer

un rajoutIl serait bon de préciser que ce fix n'est a priori valable que pour XP et cela permettrait de supprimer tous les tests en début de programme. Il est possible que le tskill de windoze XP fontionne sous 2000 et mêm 2003, mais alors il faudrait le proposer en téléchargement. Je ne vous voit pas réécrire tout le fichier cmd, pour une procédure W2k. Bon dimanche,

Utilisateur anonyme · Answer

salutben il faudrait surement supprimer ces commandes et faire appel à un prog du genre process.exe mis en complément du fix, comme le fait l2mfix par exemple.http://www.beyondlogic.org/solutions/processutil/processutil.htm

S!Ri · Answer

salut,j'avais juste posté l'exemple ici pour voir si les commandes fonctionnaient chez balltrap. Effectivement, moe a bien vu la solution.Les commandes sous les differentes versions de windows ne sont pas les mêmes ou n'existent pas.Le preuve avec win2000 et tskill.Il va falloir que je pense a integrer au sain du zip des .exe pour tuer les processus.Et peut être même recoder le fix en binaire (.exe) si l'infection se complique encore...a+

balltrap34 · Answer

je pense que je te l avais deja fait voirhttp://home.tele2.fr/gchrispage/index/download/fichiers_&_scripts/smitRem.zip

S!Ri · Answer

Salut,Dans le smitrem.zip, il y a carrément le taskkill.exe de microsoft.(vous avez remarqué les noms de répertoires en espagnol dans ce script ?) A la rigeur je préfairerais utiliser process.exe (utilisé par l2mfix) mis en lien ci dessus par moe et qui n'est pas sujet au copyright.C'est ce que je voulais éviter au départ: un zip avec plusieurs fichiers dedans, afin de simplifier la tâche aux utilisateurs. Mais je vais devoir m'y résoudre en attendant une probable conversion en binaire.Je vais essayer d'integrer process.exe aujourd'hui si j'ai le temps. Pour l'instant il faudra se limiter à corriger les version Windows XP avec le fix :-(Balltrap, quel est le forum ou tu as lu ce message (post <33>) ?a+

Utilisateur anonyme · Answer

salut siriNom des repertoire en espagnol et en hollandais pour le bureau, lolA noter la grande difference entre le fix du lien du post précedent, et celui qui circule maintenant!!Detection et suppression de 3 fichiers dont je trouve aucunes traces nulle part, bizarre:oleext.dll wppp.html__delete_on_reboot__intmon.exePar contre ici:http://nikita.eddys-domain.de/Artikel/startseite/oneclicksearches.htmlil est mentionné ce fichier:__delete_on_reboot__OLEADM.dll mais pareil que pour les précedents, aucunes traces sur google.a+

S!Ri · Answer

Ha oui...A vérifier dans le temps si ces fichiers n'apparaissent pas.bientôt midi, et je n'ai pas eu le temps de me pencher sur le fix...plus tard peut être.

balltrap34 · Answer

salutc est sur assistemais en mp

Utilisateur anonyme · Answer

j'aurais parié, j'aurais gagné lol

balltrap34 · Answer

et si je te dit de quilol devine

Utilisateur anonyme · Answer

je connait pas les membres d'assiste, mais j'ai noté la présence de vazkor sur les posts smitfraud il y a quelques jours.C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.J'ai cru comprendre que c'est tendu entre vous...

balltrap34 · Answer

c est luicela a ete tendu maintenant c est bonmais sur assite ils sont tres tres conservateur ont vas direa part pierre terdef tres sympa

Utilisateur anonyme · Answer

oui, il était passé sur le forum, chercher des infos au moment ou il préparait son topic sur smitfraud.Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.

balltrap34 · Answer

oui vraiment un super boulot

S!Ri · Answer

Helloc'est sympa d'avoir signalé le problème.Ce site est une mine d'info. (LA référence francaise).Le fix est en ligne:http://siri.urz.free.fr/Fix/SmitfraudFix.zipLes modifications:- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe- Vérification des fichiers crées le même jour que intell32.exe.(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).a+

balltrap34 · Answer

si tu as le temp j est pas compris la mise en place du process.exeou tu la pris

Utilisateur anonyme · Answer

salut siriun % en trop ici, il me semble:if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt) popdif exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txtpour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?Pour process je crois qu'il à du le prendre ici:http://www.beyondlogic.org/solutions/processutil/processutil.htmy a pas de copyright, contrairement à taskill de chez crosofta+

S!Ri · Answer

re'Je me suis basé sur l2mfix ;-)Je teste s'il est dispo au coté de smitfraudfix.cmds'il l'est, je le copie dans %system% (si il n'y est pas déja).Au moment de quitter le batch, je le supprime.J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.

S!Ri · Answer

re'Merci de corriger derrière moi !Je modifie ca de suite :-pPour la partie:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exedans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.Je viens de me relire en cas d'erreur de ma part, et c'est bon.

Utilisateur anonyme · Answer

ok, je savais pasmais j'ai préféré te demander ;-)

balltrap34 · Answer

moe c est pas des yeus qu il a c est des lasers

S!Ri · Answer

Tu as raison, ca me permet aussi de relire encore 1x le code...:-D

Utilisateur anonyme · Answer

lol à force tu dois le connaitre par coeur..

S!Ri · Answer

lolouiEt je relis mes fautes comme tu vois ;-)

balltrap34 · Answer

il devient complex

S!Ri · Answer

il y a 2-3 parties assez tordues dedans, mais le principal c'est quand même de la répétition: if exist blabla delete...Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...

Utilisateur anonyme · Answer

c'est ce qui a été fait pour le prog pfind new de chez bleeping, ils en ont fait un exe, il commencait à y avoir beaucoup trop de prog dans le zip, devenu winpfind.exe maintenant.J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.On retrouve meme quelques commandes identiques...a+

balltrap34 · Answer

lol le temp des print if for next

S!Ri · Answer

lol, le bon vieux temps...

balltrap34 · Answer

sur se post ou tu est srhttp://www.commentcamarche.net/forum/affich-1691606-AU-secours-balltrap34-et-moe31#7la comparaison se fait sur la date du jour?je pensais quelle se ferait sur la date de creation de intell32?

S!Ri · Answer

Le fichier intell32.exe doit dater d'aujourd'hui car la recherche se fait bien a partir de ce fichier. Il doit certainement être recréé...J'en ai profité pour corriger un bug d'affichage des fichiers (le fix ressortait les fichiers trouvés comme étant dans %system%)

balltrap34 · Answer

a oui okij est preferer te de'mander

Utilisateur anonyme · Answer

une remarque pour psguard, et ca fait plusieurs fois que ca arrive.mentionné dans les04, mais non detecté par le fix dans program files.je crois que c'est un autre process qui s'occupe de l'enregistrer dans le registre, avant de probablement telecharger l'installateur.Vu aussi pour AvGold

balltrap34 · Answer

je regarde mais je vois pas et sur cette ligne en gras il ne faut pas les guillemetsif exist "%ProgramFiles%\AdwareDelete\" (echo %ProgramFiles%\AdwareDelete\ PRESENT !>>rapport.txt)if exist "%ProgramFiles%\AntivirusGold\" (echo %ProgramFiles%\AntivirusGold\ PRESENT !>>rapport.txt)if exist "%ProgramFiles%\PSGuard\" (echo %ProgramFiles%\PSGuard\ PRESENT!>>rapport.txt)if exist "%ProgramFiles%\Search Maid\" (echo %ProgramFiles%\Search Maid\ PRESENT !>>rapport.txt)if exist "%ProgramFiles%\Security IGuard\" (echo %ProgramFiles%\Security IGuard\ PRESENT !>>rapport.txt)if exist "%ProgramFiles%\SpySheriff\" (echo %ProgramFiles%\SpySheriff\PRESENT!>>rapport.txt)if exist "%ProgramFiles%\SpyKiller\" (echo %ProgramFiles%\SpyKiller\ PRESENT !>>rapport.txt)if exist "%ProgramFiles%\Virtual Maid\" (echo %ProgramFiles%\Virtual Maid\ PRESENT !>>rapport.txt)if exist %HOMEDRIVE%\spywarevanisher-free\ (echo %HOMEDRIVE%\spywarevanisher-free\ PRESENT !>>rapport.txt)

S!Ri · Answer

re'"%HOMEDRIVE%\spywarevanisher-free\" corrigé.décidement.thanxxpour PSGuard c'est troublant !Je cherche encore

balltrap34 · Answer

je vois pas je fait le tour des av pour voir si quelque chose nous echappe

S!Ri · Answer

Salut,Suite au problème tskill détecté par vazkor, je l'ai remercié en pv. Du coup il a fait une analyse un peu plus poussée du fix et il a détecté une faute de frappe sur une variable. Il m'a aussi conseillé d'optimiser le début du script (au niveau des tests WinXP-Win9x). Chose faite.Il reste le problème des fichiers/dossiers psguard et intell32.exe qui ne sont parfois pas signalés (?)ici: http://www.commentcamarche.net/forum/affich-1696285#16Le fix est pourtant correct.Peut être une astuce au niveau du nom du fichier utilisé par l'infection ?a+

balltrap34 · Answer

moi la je vois pas le probleme

Utilisateur anonyme · Answer

salutun petit nouveau wppp.html, trouvé par la recherche des fichiers crées à la meme date qu'intell32 http://www.commentcamarche.net/forum/affich-1697641-ecran-noir-sur-le-bureau-avec-message-virus#0il me semble qu'il apparait dans smitrem aussihttp://www.commentcamarche.net/forum/affich-1686875-SmitfraudFix-DesktopHijack-AVGold#39a+

S!Ri · Answer

salut,effectivement:http://securityresponse.symantec.com/avcenter/venc/data/trojan.desktophijack.c.htmlj'ajoute tout ca:%System%\oleext.dll (A component of Trojan.Desktophijack.C)%System%\oleext32.dll (A copy of wininet.dll that is infected with W32.Desktophijack)%System%\wppp.html (A component of Trojan.Desktophijack.C)mercia+

balltrap34 · Answer

il apparait aussi sur un silence runner sur un post infecter en windows 98

Utilisateur anonyme · Answer

ca expliquerait peut etre pourquoi wininet infecté n'était pas detecté par le fix mais detecté par l'analise heuristique de certains avla chaine de caractere oleext vient peut etre de s'ajouter à oleadmdans la detection du wininet infecté ?a+

S!Ri · Answer

exact,je suis en train de modifier le script pour qu'il recherche aussi OLEEXT dans wininet.dll

S!Ri · Answer

voila, v1.3 en ligne.on va voir ce qu'il en ressort.

balltrap34 · Answer

dite moi si je me trompe mais comme mon anglais est very badceci est a modifier dans le reg c est a dire mettre ces valeursNavigate to the subkey:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerIn the right pane, reset the value:"NoActiveDesktopChanges" = "1"Navigate to the subkey:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemIn the right pane, reset the values:"NoDispBackgroundPage" = "1" "NoDispAppearancePage" = "1" Navigate to the subkey:HKEY_CURRENT_USER\Control Panel\DesktopIn the right pane, reset the values:"Wallpaperstyle" = "0""Wallpaper" = "%SystemRoot%\%System%\wppp.html"

S!Ri · Answer

Oui, tu as  raison.Cela fait un moment que ces clés sont corrigées dans smitfraudfix.La version du .reg que l'on utilise corrige plus de clés que l'original de bleeping.

Utilisateur anonyme · Answer

salutdans la v1.3pour la suppression de wppp.html, c'est wp.bmp qui est mentionné à la place, donc wppp.html ne peut pas etre supprimé

S!Ri · Answer

J'ai vu ca dans le log.c'est bon.

Utilisateur anonyme · Answer

il manque aussi la detection oleext pour l'option 1:wininetscan

S!Ri · Answer

voila ce qe c'est que de faire plusieurs choses en même temps.Le boulo, le forum, le fix...j'vais me prendre un café et me mettre au calme 5mn

Utilisateur anonyme · Answer

lolj'allais faire la meme chose (un pt'it café au calme)a+

S!Ri · Answer

Salut,J'ai remarqué qu' Avgold ( et certainement les autres variantes) modifie les zones et domaines de confiance.Vous pouvez me confirmer mes soupcons ?a+

balltrap34 · Answer

salutont vas verifier et si cela se confirme je te le dit

S!Ri · Answer

Hello BalltrapMerci.Dans ce cas je modifie le fix pour corriger quelques clés du registre et il n'y aura pas besoin d'utiliser: http://www.mvps.org/winhelp2002/DelDomains.infvu ici par Spybot:http://forum.zebulon.fr/index.php?showtopic=70549&pid=544582&st=15&#a+

balltrap34 · Answer

tu veut rajouter les clef de deldomains?

S!Ri · Answer

re'Pas de suite, j'attend de voir si d'autres versions de l'infection modifient les clés des domaines de confiance.a+

balltrap34 · Answer

okimais je vais pas pouvoir te donner des renseignement d ici le week end fini les vacances demain je reprend le 40 tonnes lol

S!Ri · Answer

re'Bon courage et bonne route alors.A bientôt

Utilisateur anonyme · Answer

salut siriJ'aurais besoin de tes lumieres...Dans win 98est ce que la variable %USERPROFILE%correspond bien à:C:\WINDOWS\PROFILES
om du compteest ce que la variable %ALLUSERSPROFILE%correspond bien à:C:\WINDOWS\All Usersest ce que le chemin et le meme que pour xp, pour les taches planifiées:C:\WINDOWS\Taskset au passage une nouvelle entrée dans le registre pour C:\winstall.exe O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe je ne l'ai vu qu'une seule fois pour l'instanta+

balltrap34 · Answer

il me semble l avoir vu aussi

S!Ri · Answer

salutJe ne pense pas que ces variables existent sous Win98.Pour tasks j'avoue ne pas savoir...Je me suis trouvé une machine avec Win98, mais là je n'ai pas le temps de la brancher. Je te dirais ca demain.J'ai modifié le fix. toujours en version 1.3, mais avec la clé:O4 - HKCU\..\Run: [SNInstall] à supprimer.Merci :-)a+

S!Ri · Answer

SalutMoe,le rep C:\WINDOWS\Tasks\ est bien le même sous win98.Pour les variables, comme je te l'avais dis plus haut, elles n'existent pas.Concernant le fix,J'ai ajouté le répertoire Daily Weather Forecast à supprimer, ainsi que les clés qui vont avec (run et uninstall).On s'était déja posé la question avec Moe. Ce programme était souvant présent dans les logs.http://www.commentcamarche.net/forum/affich-1668546-probl%E8me-avec-spysheriff?CCMSESSID=e4622dacf6a50e4d398092b9bdc7d3e0#24http://www.sophos.com/virusinfo/analyses/trojdloaderip.htmlhttp://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.htmla+

Utilisateur anonyme · Answer

salut s!rimerci d'avoir précisépour Daily Weather Forecast, on commence à le voir apparaitre dans quelques logs, bien vu.a+

Utilisateur anonyme · Answer

reapparement un probleme de suppression du fichier oleext.dll quand wininet et infectée.Je crois que ca viens de la seconde passe (fixclean.cmd),  oleadm.dll  est supprimée mais pas oleext.dll.a+

S!Ri · Answer

salut,J'ai ajouté à fixclean.cmd les commandes pour supprimer oleext.dllthanxxJe suis en train de chercher un peu plus de renseignements sur celui là:http://www.sophos.com/virusinfo/analyses/trojdloadergl.htmlQui concerne les fichiers vxh8jkdq5.exe, vxh8jkdq?.exe ... et le DisableTaskMgr mis à 1 dans les policies...a+

Utilisateur anonyme · Answer

salut sirioui, ca serait bien de le rajoutersinon, pour la recherche de fichiers crées en meme temps qu'intell32, j'ai remarqué que dans les cas oleext.dll+intell32 il y a souvent un fichier du type q1580001_disk.dll crée au meme moment.a+

S!Ri · Answer

re'Oui, je note ca dans mes petits papiers.Ce fichier q1580001_disk.dll avec une serie de chiffre aléatoire bloque le demarrage de windows 98 en faisant une erreur ole32.dll (même en mode sans echec. Il faut redemarrer en mode console pour le supprimer).a+

Utilisateur anonyme · Answer

ca correpondrait à ceci:Trojan.Stwoylehttp://securityresponse.symantec.com/avcenter/venc/data/trojan.stwoyle.htmltroj.stydler.ahttp://www.sophos.com/virusinfo/analyses/trojstydlera.htmla+

S!Ri · Answer

SalutJ'ai ajouté une fonction au fix:En selectionnant l'option 3, le fix réinitialise les sites de confiances/sensibles. ( == DelDomains.inf )Ceci n'étant pas nécessaire dans tous les cas, j'ai préferé aujouter une 3ème option.a+

balltrap34 · Answer

salut a tous les deux je vois que cette semaine le fix avance bien

Utilisateur anonyme · Answer

salut balltrap ca va ?

balltrap34 · Answer

salutoui sa vas et toi

Utilisateur anonyme · Answer

l ancien est de retour donc je disparaisciao olivier, ciao l ancien gerard lol

S!Ri · Answer

Salut Balltrap !Déja le weekend ?:-)

Utilisateur anonyme · Answer

salut s!rij'ai vu que tu recherche les entrées dans le registre pour q*_disk.dllen voilà une detecté par silentrunners:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q207092172_disk.dll" [null data]et une pour psguard detecté par ewido:HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD\PSGUARDa+

balltrap34 · Answer

salut S/R salut regis pas encore le week demain direction marseile et rechargement a orange

Utilisateur anonyme · Answer

saluttu vas pas trop loin de chez toi ce coup ci.

balltrap34 · Answer

normal c est vendredi

S!Ri · Answer

Merci pour les clés moe, je met tout ca de coté.Pour l'instant je ne trouve pas 2x le même CLSID...Tu penses aux virus dans ton camion/tracteur Balltrap ?

S!Ri · Answer

correction...1ere correspondance ;-)

balltrap34 · Answer

oui tous a fait ji pense et j est plein d idee que je ne peut pas mettre en pratique il faut vraiment que je m achete mon portablecomlme j est arreter de fumer l argent vas me servir a cela

Utilisateur anonyme · Answer

tu tiens le coup ?j'arrive pas à m'arreter lolva falloir que j'y pense serieusement...a+

balltrap34 · Answer

j est craker un peut hier mais je n est pas abandonner lol3 paquets par jour cela commencais a faire un peu trop lol

Utilisateur anonyme · Answer

ah oui quand meme !On dit que le plus dur c'est le 1er mois, mais bon je suis jamais arrivé jusque là....lache pas l'affairej'arrete pour ce soir, crevé..a++

balltrap34 · Answer

oui ont vas essayer cela ferat trois semaine mercredi

balltrap34 · Answer

reen meme temp que intell32 celui ci aussi je l est vu plusieurs foisC:\WINDOWS\system32\intmon.exe et toujour soucis de suppr de C:\WINDOWS\system32\oleext.dll

S!Ri · Answer

Hello,3 paquets par jours !C'est clair que tu vas faire des economies si tu arrêtes.(Tes poumons te diront merci aussi)C'est Ok pour intmon.exe.Le soucis de suppression oleext.dll est le même qu'avec oleadm.dllLes nouvelles versions de l'infection n'utilisent plus oleadm.dll mais oleext.dll. La dll est en mémoire au moment du nettoyage. Et généralement, c'est quand wininet.dll est infecté.Le fix tente une 1ere suppression à chaud, puis lors du reboot avec wininet.old . Le mieux est encore de nettoyer en mode sans echec.Concernant q*_disk.dll, voila ce que j'ai pu trouver comme infos :Il y a plusieurs versions (et différents noms Trojan-Downloader.Win32.Delf.pa , Trojan-Downloader.Win32.Delf.h , Troj/Stydler-A , Trojan.Stwoyle). Parfois en rapport avec une infection de type DesktopHijack, parfois non.Les fichiers:q*_disk.dll (avec * == une série de chiffres)winstyle2.dllwinstyle3.dllCLSID:0976BE78-EA53-4DD6-91E6-E6175940032BB212D577-05B7-4963-911E-4A8588160DFA6AC3806F-8B39-4746-9C38-6B01CB7331FFEnregistrement dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify :O20 - Winlogon Notify: style2 - C:\WINDOWS\q*_disk.dllO20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle2.dllO20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle3.dllO20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll (assez rare)Nettoyage possible (Modifier le CLSID et le nom de la clé en fonction de l'infection):REGEDIT4 [-HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}][-HKEY_CURRENT_USER\Software\Microsoft\style2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]"{6AC3806F-8B39-4746-9C38-6B01CB7331FF}"=-[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2]a+

balltrap34 · Answer

salut S/Rpour oleext.dll ont pourrait inclure ceci pour la desenregistrer(regsvr32.exe -u oleext.dll ) avant de chercher a la suppr je suis pas sur de la syntaxe

S!Ri · Answer

SalutJe tiens à jour le fichier .reg pour nettoyer le registre sur Win9x et Me:http://siri.urz.free.fr/Fix/SmitFraud_CleanUp.rega+

Utilisateur anonyme · Answer

salutmercije ne l'ai pas encore regardé, mais il y a beaucoups de differences avec le reg pour xp ?a+

S!Ri · Answer

C'est le même.Pas de soucis, si les clés n'existent pas, elles ne sont pas supprimées.

Utilisateur anonyme · Answer

ah d'accord, je pensais qu'il y avait un reg special pour 9x, lolFinalement, qu'est ce qui empeche le fix de tourner sous 9x ?a+

Utilisateur anonyme · Answer

peut etre un nouveau fichier pour spysheriffO4 - HKCU\..\Run: [SNInstall] C:\WINDOWS	ool2.exehttp://www.commentcamarche.net/forum/affich-1725123-spysheriff-toujours-pr%E9sent-sur-le-PC#2005-08-09%2022%3A46%3A03a+

S!Ri · Answer

Salut moe,Ca y ressemble fort en tout cas.Je note ca et je mettrais a jour demain matinBien vu ! Mercia+ps:http://research.sunbelt-software.com/threat_display.cfm?name=Spy%20Sheriff&threatid=40066

Utilisateur anonyme · Answer

merci pour le lien, j'avais pas encore fais de recherches.maintenant c'est confirmé lola+

S!Ri · Answer

Salut,Ici la dernière Mise à jour de sécurité cumulative pour Internet Explorer:http://www.microsoft.com/technet/security/bulletin/ms05-038.mspxAvec la dernière version de wininet.dll (6.0.2900.2713 - WinXP SP2) en cas de problème de remplacement avec le fix.Cette MAJ remplace la précedente Mise à jour de sécurité cumulative pour Internet Explorer:http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx (Wininet.dll version 6.0.2900.2668 - WinXP SP2)a+

balltrap34 · Answer

oki merci

balltrap34 · Answer

a rajouter au fixC:\WINDOWS\Downloaded Program Files\html.exe suite a un rapport defenderC:\WINDOWS\Downloaded Program Files\html.exe Infected with: Trojan.Downloader.Delf.KS C:\WINDOWS\Downloaded Program Files\html.exe Deleted C:\WINDOWS\system32\hookdump.exe Infected with: Trojan.TopAntiSpyware.N C:\WINDOWS\system32\hookdump.exe Disinfection failed C:\WINDOWS\system32\hookdump.exe Delete failed C:\WINDOWS\system32\svcnt.exe Infected with: Trojan.Downloader.Delf.KS C:\WINDOWS\system32\svcnt.exe Disinfection failed C:\WINDOWS\system32\svcnt.exe Delete failed

S!Ri · Answer

SalutC:\WINDOWS\system32\svcnt.exeC:\WINDOWS\system32\hookdump.exe sont déja dans la listeC:\WINDOWS\Downloaded Program Files\html.exeJ'attend de voir d'autres rapport s'il fait bien parti d'une infection de type DeskTopHijack.J'ai repéré ce genre de clés qui me semblent louches:F2 - REG:system.ini: Shell=Explorer.exe install32m.exeF2 - REG:system.ini: Shell=Explorer.exe init32m.exeJe regarde aussi si j'ai plus d'infos avant de les ajouter.a+

balltrap34 · Answer

je t est mis les autres C:\WINDOWS\system32\svcnt.exe C:\WINDOWS\system32\hookdump.exe sont déja dans la liste pour te montrer la relation avec le trojanTrojan.Downloader.Delf.KS

S!Ri · Answer

Merijn (HijackThis) a fait un nouvau programme il y a quelques jours:Brute Force Uninstaller ( http://www.merijn.org/ )En gros, ca fonctionne avec des scripts.Les commandes modifient le registre, effacent des fichiers/dossier, tuent des processus/services, redemarrent le système, vident les repertoires temp... etc...Ca a l'air pas trop mal. v1.0 la doc est là:http://www.merijn.org/files/BFU.rtfAnglais désolé...va falloir t'y mettre balltrap ;-)

balltrap34 · Answer

lol merci il y a un moment que je n etais pas allez sur son siteje vais voir celaet pour l anglais je vais me servir de mon traducteur de site

balltrap34 · Answer

le prog reprend permet de mettre la ligne de commande utile pour virer ou ajouter et autresmais il faut mettre manuellement chaque lignes pour chaque action

S!Ri · Answer

non, les commandes sont passées au travers de fichiers (script) .bfuIl y a des exemples ici:http://www.merijn.org/files/bfu-kazaabegone.zip

balltrap34 · Answer

je doit etre trop fatiguer je pige pas le fonctionnement lol et la je doit partir bossersi tu peut me donner des details si c est possible c est pas primordial pour moi je repasse se soir ou fin d apres midimerci

Utilisateur anonyme · Answer

salut siripeut etre un nouveau dossier à rajouterC:\Documents and Settings\All Users\Application Data\SecTaskMan pour xpC:\Windows\Application Data\SecTaskMan pour 9xOn retrouve pour certaines infections, ce type de fichiers à l'interieur intmonp.exe.q_804800_qintmonp.exe.q_804800_q.oldpopuper.exe.q_2CF536D_q popuper.exe.q_2CF536D_q.old Mais pas seulement lié à smitfraud, on dirait que ce dossier est utilisé par plusieurs autres parasites (ou pour en dropper d'autres)Trojan-ClickereliteAdware/SBSoft Win32.Agent.iuWin32.Agent.acTrj/DMeco.AWORM RBOT GatorTrojanDownloader.PurityScan.yAntivirus-goldetc .. http://www.google.fr/search?hl=fr&q=SecTaskMan&btnG=Recherche+Google&meta=dis moi ce que tu en pensea+

Utilisateur anonyme · Answer

et cette entrée pour spysheriffO4 - HKCU\..\Run: [SNInstall] c:
tdetecd.exeressemble beaucoup à ceci:http://www.sophos.com/virusinfo/analyses/trojspyhoaxa.htmla+

S!Ri · Answer

SalutMoe, je vais regarder ce que tu me dis au post 139.pour ntdetecd.exe, je l'avais mis en standby. Le temps de voir si c'était bien lié.Le problème avec ce type de trojan Downloader, c'est que ca télecharge plusieurs type d'infections en même temps.Une liste ci dessous des entrées/fichiers ou j'ai un doute concernant un lien avec Smitfraud/DeskTopHijack/AVGold...etc:C:\WINDOWS\System32\desktop.exeO4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exeO4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\TEMP\?.qtdfmp - C:\WINNT\TEMP\?.qtdfmp - (%windir%\TEMP)C:\WINDOWS\System32\msxct.exeO4 - HKLM\..\Run: [msxct] msxct.exeC:\WINDOWS\svchost.exeO4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exeO16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-itstml:file://C:.oo.mhttp://195.225.177.33//vx//targ.chm:/win32.exeO16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//098//targ.chm::/win32.exe O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exeO4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exeO4 - HKCU\..\Run: [SNInstall] c:
tdetecd.exeO4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exeO4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exeF2 - REG:system.ini: Shell=Explorer.exe install32m.exeF2 - REG:system.ini: Shell=Explorer.exe init32m.exeC:\WINDOWS\system32\Oeoepi32.exeO2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dllO4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dllC:\WINDOWS\isrvs\C:\WINDOWS\isrvs\desktop.exeC:\WINDOWS\isrvs\edmond.exeC:\WINDOWS\isrvs\ffisearch.exeC:\WINDOWS\isrvs\isearch.xpiC:\WINDOWS\isrvs\mfiltis.dllC:\WINDOWS\isrvs\msdbhk.dllC:\WINDOWS\isrvs\sysupd.dllhttp://www.symantec.com/avcenter/venc/data/adware.topav.htmlSans oublier les nouvelles versions...

balltrap34 · Answer

celui la C:\WINDOWS\System32\desktop.exe je pense pas il se comporte plus comme un key logger

S!Ri · Answer

Ok balltrap34, desktop.exe on va le mettre de coté.Celui là par contre semble nouveau:F2 - REG:system.ini: Shell=Explorer.exe sysinit32z.exe C:\WINDOWS\system32\sysinit32z.exe -> TrojanDownloader.Small.bcvAccompagné de:C:\WINDOWS\system32	aras.exe -> TrojanDownloader.Small.bcvici:http://www.commentcamarche.net/forum/affich-1733424-Papier-peint-remplac%E9-par-page-web-et-absenceet là:http://www.infos-du-net.com/forum/122741-11-resultat-rapport(Sur ce lien justement, regardez l'analyse ewido et ce qui se rapporte au trojan small...Keygen et crack... )Ce trojan downloader small revient assez souvant dans ce type d'infection.a+

Utilisateur anonyme · Answer

salutd'accord avec toi pour sysinit32z.exe et taras.exeje crois que tu connais dejà ces lienspour C:\WINDOWS\isrvshttp://www.webhelper4u.com/CWS/Research/screenimages/isrvsdesktopsearch.htmlpour les CHM Exploit, lol ca va pas etre du gateauhttp://www.webhelper4u.com/CWS/CWSdropper_exe_msgs.htmlhttp://www.webhelper4u.com/CWS/CWSdropper_exe.htmlhttp://www.webhelper4u.com/CWS/cwshotoffers41105.htmlpaytime.exe, tool1.exe, init32m.exe + backdoor haxdoorhttp://www.webhelper4u.com/CWS/cwswritingsjuly2005/cwsarthurfilipiak_exploits.html combo.exe, intel32.exehttp://www.webhelper4u.com/CWS/VladZone/cws_vladzoneexploits.htmlet peut etre ceux là aussiinstall32m.exeLgjopdch.dllmsnethlp32.exe a+

S!Ri · Answer

Ouaip, C'est pas rassurant ceci:paytime.exe, tool1.exe, init32m.exe + backdoor haxdoor Bref, l'infection gagne en complexité.D'un tronc, elle est partie sur de multiples ramifications.Et la plupart du temps l'origine est due a l'utilisation de cracks.A bon entendeur...a+

Utilisateur anonyme · Answer

oui, mais la 1ere infection du style psguard et autre que j'ai vu remonte dejà à longtemps, c'était pour SlimShield je croiset ca préfigurait ce genre d'infection, avec déjà tout un tas de modifs dans le registrehttp://sandbox.norman.no/live_2.html?logfile=124776a+

balltrap34 · Answer

lol apparament lier avec des key gen donc pas forcement en rapport smitfraud??je pense que c est a surveiller si cela se renouvelle sur des log infecter sans crack et keygen qui d ailleurs est une belle sal****ie

balltrap34 · Answer

S/R ou moeexiste t il un moyen avec ligne de commande de rechercher des fichiers comme elitexxx32.exe(x etand des lettres aleatoire)j est essayer et pas moyen

S!Ri · Answer

HelloTu peux essayer de taper la commande:dir elite???32.exe (??? etant le nombre exact, ici 3, de lettres aléatoires)dir c:\windows\system32\elite???32.exe pour chercher dans le répertoire c:\windows\system32Tu peux aussi taperdir elite*32.exe si tu ne connais pas le nombre de caractères aléatoires.a+

balltrap34 · Answer

j est fait les deux et cela ne fonctionne paset pour le fix a surveiller ceciati2vid.exe

Utilisateur anonyme · Answer

salutpour elite il y a ce bat qui est tres bien et tenu à jour regulierementhttp://users.pandora.be/bluepatchy/LQfix.zipa+

balltrap34 · Answer

je voulais juste fait un bat pour voir les fichiers creermais cela marche pas lol

Utilisateur anonyme · Answer

essaye ca:@echo offcd %windir%\System32dir /a elite*32.exe>>%windir%\rapport.txtif not exist elite*32.exe (echo elite*32.exe non Présent !>>%windir%\rapport.txt)notepad %windir%\rapport.txtif exist %windir%\rapport.txt del %windir%\rapport.txtexit

balltrap34 · Answer

lol sa marche merci j est vraiment du mal avec cest lignes de commandesje voulais faire cela pour pouvoir faire virer tous les fichiers elite*32 via la kill par bloc notele fix le fait mais sans pssibiliter de choisir si bon ou mauvais je trouve cela un peu risquervoila se que moi je faisait@echo offcd %windir%\System32dir /a elite*32.exe>>rapport.txttype rapport.txtif exist %windir%\rapport.txt del %windir%\rapport.txtexit

Utilisateur anonyme · Answer

type rapport.txt <- il me semble que ca affiche le contenu de rapport.txt dans la fenetre de l'invite commandepour le fix, c'est vrai qu'il y a un risque mais bon... "limité"si le nombre de caracteres entre elite et 32 est toujours le meme tu peux mettre des ? pour chaques caracteres aleatoires, a la place de "*"

balltrap34 · Answer

oui le risque est limite il y a pas trop de chance que quelqu un est appeler son prog ou fichier ainside toutes facon cela me sert a maitriser les lignes de commandedonc il faut mettre cecinotepad %windir%\rapport.txtle windir est obligatoire

Utilisateur anonyme · Answer

en fait au depart tu decide ou tu veux que soit crée le rapport final je l'avais mis dans c:\windowssinon ca doit marcher aussi comme ca:@echo offcd %windir%\System32dir /a elite*32.exe>>rapport.txtif not exist elite*32.exe (echo elite*32.exe non Présent>>rapport.txt)notepad rapport.txt if exist rapport.txt del rapport.txtexitle rapport se créera dans le dossier ou tu fais ta recherche (mais pas pratique si tu veux rechercher dans plusieurs dossiers, ca oblige à deplacer rapport.txt à chaque fois)

S!Ri · Answer

Je suis justement en train de faire un nouveau script (en VBS) qui permet de faire une recherche d'un fichier.- Si le nom du fichier est entré seul, la recherche se fait dans c:, c:\windows et c:\windows\system32. (Le script tient compte des systèmes installé sur un disque C, D... ou d'un OS a base NT ou Win9x)- Si un chemin complet est donné (c:\windows\log\fichier.exe) la recherche ne se fait que sur ce chemin.Une fois le fichier trouvé, le script regarde la date et donne les fichiers créés le même jour dans les répertoires: c:, c:\windows et c:\windows\system32Par soucis de rapidité, le script ne fait pas la recherche sur tout le disque dur.Quel serait selon vous les chemins a inclure pour la 1ère recherche, puis la recherche des fichiers créés à la même date ?ThanxxA+

Utilisateur anonyme · Answer

un peu comme RegSrch mais pour les fichiers c'est ca ?sinon, dans certain log il y a des probleme de suppression pour:HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuardmeme apres le nettoyage du fix et modif des autorisation de la clé, spybot la detecte ?a+

balltrap34 · Answer

oki je v est partir moins bete demain lolmerci

S!Ri · Answer

Oui, justement, dans le même genre que regsearch.Ce n'est pas encore au point, mais ca donne un appercu:http://siri.urz.free.fr/Fix/FileSrch.vbsLe fix ne s'occupe pas de cette clé:HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuardJe vais regarder demain ce qui pourrait poser problème...

Utilisateur anonyme · Answer

oui tres bien, mais qu'est ce que tu entend par :Quel serait selon vous les chemins a inclure pour la 1ère recherchetu veux inclure des chemins de fichiers prédéfinis ?a+ demain levé 5h

S!Ri · Answer

Le script fait une recherche dans ces répertoires uniquement pour gagner en vitesse:C:\C:\windowsC:\windows\system32S'il devait parcourir tout le disque C:\ cela pourrait prendre 10-15mn(Il sera possible d'offrir un choix: analyse rapide ou analyse approfondie)Quel serait selon vous les répertoires a analyser en priorité (analyse rapide) ?

balltrap34 · Answer

salutretrouver plusieur fois ceci suite a une infection smitfraudO21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\abirvalg32.dll a voirlea recherche marche mais il ne ma pas detecter fichier creer a la meme date

S!Ri · Answer

cherche avec wininet.dll par exemple.

S!Ri · Answer

Une recherche rapide dans google de abirvalg32.dll donne le virus small. Je note.Merci

balltrap34 · Answer

voilka le resultatFileSrch.vbs - S!Ri Microsoft Windows XP Professionnel 5.1.2600 Service Pack: 2.0Fichier recherché "wininet.dll " 15/08/2005 23:26:44NOTE: Ce rapport sera effacé à la fermeture de NotePadSauvegardez le à un nouvel emplacement pour le réutiliser plus tard.C:\WINDOWS\system32\Nom:              	wininet.dllTaille:           	662528 Octets Type de fichier:  	Extension de l'applicationCréé le:          	30/08/2002 19:24:06Dernier accès le: 	15/08/2005 23:18:23Modifié le:       	03/07/2005 04:16:42Attributs:        	Archive Version:		6.0.2900.2713Entreprise:		Microsoft CorporationVersion:		6.00.2900.2713 (xpsp_sp2_gdr.050702-1513)Fichiers créés le même jour:

S!Ri · Answer

lolquand je dis que c'est pas encore au point ;-)Je me lève tôt demain aussi.A++

balltrap34 · Answer

oui je l est retrouver sur 3ou4 log avec infection smitet moi je v est pas tarder non plus je vous dit a vendredi ou peut etre dans la semaine si mon bahut veut bien passer par chez moi lol

balltrap34 · Answer

comment mettre sur le rapport quand fichier trouver qu il ne sont pas forcement mauvaislol cela doit etre simple mais je mi perd lol:menuclscolor 1Eecho.echo  ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»echo  º Recherche et suppression des fichiers elitexxx32.exe ºecho  ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ¹echo  º                                                      ºecho  º           1-  recherche de fichiers                  ºecho  º                                                      ºecho  º           2-  suppression des fichiers               ºecho  º                                                      ºecho  º           S-  sortir                                 ºecho  ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ¼echo.set /p Choix=               Entrez votre choix (1,2,S)if '%Choix%'=='1' GOTO recherif '%Choix%'=='2' GOTO supprif '%Choix%'=='s' exitif '%Choix%'=='S' exitgoto menu:rechercd %windir%\System32dir /a elite*32.exe >>%windir%\rapport.txtif not exist elite*32.exe (echo elite*32.exe non Présent !>>%windir%\rapport.txt)notepad %windir%\rapport.txt if exist %windir%\rapport.txt del %windir%\rapport.txtgoto menu :supprattrib -r -s -h elite*32.exeif exist elite*32.exe del elite*32.exeecho fichier suppr >>res.txtnotepad res.txt if exist res.txt del res.txtexit

Utilisateur anonyme · Answer

salutessaye ca:echo Rapport fait le: %date% à %time%>>%windir%\rapport.txtecho.>>%windir%\rapport.txtecho ---------- Attention, tous les fichiers trouvés ne sont pas forcement mauvais ---------->>%windir%\rapport.txtecho.>>%windir%\rapport.txt cd %windir%\System32 dir /a elite*32.exe >>%windir%\rapport.txt if not exist elite*32.exe (echo elite*32.exe non Présent !>>%windir%\rapport.txt) notepad %windir%\rapport.txt if exist %windir%\rapport.txt del %windir%\rapport.txt goto menu:supprcd %windir%\system32 attrib -r -s -h elite*32.exe if exist elite*32.exe del elite*32.exe if not exist elite*32.exe (echo fichier suppr >>res.txt) else (echo Probleme de suppression elite*32.exe>>res.txt)notepad res.txt if exist res.txt del res.txt exitje t'ai rajouté quelques trucs en grasdate+heure rapportavertissementdans la partie suppr, cd %windir%\system32 pour se placer dans system32 avant de suppret le dernier teste si elite*32.exe et toujours là, si non message "fichier suppr" si oui message "probleme de suppression"c'est ca que tu voulais ?a+

Utilisateur anonyme · Answer

saluttoujours un prob de suppression de cette entréeHKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard j'ai vu que dans smitrem il y a ltdfix.exe pour virer cette cléje sais pas ce qu'il y a de particulier pour quelle ne se supprime pasa+

S!Ri · Answer

Salut,Je viens de survoler rapidement le log.Il est préférable d'écrire le rapport dans %systemdrive%(c: en général) plutot que dans le dossier %windir% (windows).Je dois déja bouger.a++

balltrap34 · Answer

oki merci c est impec comme cela

balltrap34 · Answer

salut S/Rj est reussi a trouver et a compiler en exe mon fichier batpour l instant c est une version free du prog donc il lance la fenetre du cmd au depart http://pageperso.aol.fr/Balltrap34/virelite.exe

rustine56 · Answer

Bonsoir balltrap34,Je me permets d'interférer deux secondes dans la manip car j'aimerais te signaler un truc. Quand on veut quitter tes démos, sur ton site fort utile, si l'on click sur "accueil", on se retouve sur les pages perso d'AOL et exit ton site. Pourrais-tu nous permettre de revenir sur ta page, ce serait plus pratique, merci d'avance. Bon courage !

balltrap34 · Answer

oki mais le soucis c est que mon site est fait via les pages perso d aol et pub oblige lol je v est essyer mais je c est pas si il vont apprecier que je modifie le lien lolmerci

Utilisateur anonyme · Answer

salut balltrappour virelite, tu as compilé avec quel prog ?a+

balltrap34 · Answer

salut moe avec quick bath files compiler

Utilisateur anonyme · Answer

ah oky a pas beaucoup de prog qui font ca, en gratuit j'ai rien trouvé

balltrap34 · Answer

oui celui la est en free pour trente jours il me semble

balltrap34 · Answer

il faudrait verifier si winfixer ne serait pas une nouvelle variante ajouter a smitfraudvoir se posthttp://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/winfixer_2005-392909/messages-1.html01 identique a smitfraud

Niouws · Answer

Salut Balltrap et moe regarder ce que j'ai déniché ! http://www.commentcamarche.net/forum/affich-1745587-pirater-le-mode-de-passe-msnSuper non?

balltrap34 · Answer

lolil y en a qui doute de rien merci j est fait en sorte de le faire enlever

Niouws · Answer

Ouai mais c pcq si vous laissez sa, ça va etre la cata. C deja la deuxieme fois que ça arrive !

balltrap34 · Answer

depuis pres de deux ans sur se site il y en a eux beaucoupet c est difficile pour les modo d etre partout a la fois c est pour cela qu il y a la fonction alerter un moderateur

Niouws · Answer

ok

balltrap34 · Answer

a++

S!Ri · Answer

SalutBien trouvé le compilateur batch balltrap !Je me demande comment il fonctionne exactement.S'il ne fait qu'enchainer les commandes du batch dans un .exe (ce qui me semble le plus logique/facile pour ce genre de compilateur), le fichier .exe qui en ressort ne fonctionnera pas sous 9x si à la base les commandes ne sont pas compatilbles 9x.ps: niouws, les modos sont en week-end on dirait. ;-)a+

Utilisateur anonyme · Answer

salut s!ritu as pu trouver quelques infos surHKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard  ?a+

balltrap34 · Answer

et voir celui la aussiil faudrait verifier si winfixer ne serait pas une nouvelle variante ajouter a smitfraud voir se post http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/winfixer_2005-392909/messages-1.html 01 identique a smitfraud je sais pas si mon exe fonctionne sous 98 je ne l est pas mais bon

S!Ri · Answer

Salut Moe,J'ai trouvé quelques infos sur:HKEY_LOCAL_MACHINE\software\shudderltd\psguardJe vais l'integrer au batch d'ici peu.Voir ici une liste:http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453087958En ce moment je suis sur un autre projet qui me prend tout mon temps... je passe sur le forum pour souffler un peu.En cherchant, je suis tombé sur:http://noahdfear.geekstogo.com/qui avait aussi fait un batch et qui est déja passé à l'exe ;-)La liste de fichiers qu'il propose semble moins fournie, mais elle intègre les icones de certaines infections.Balltrap, pour Winfixer, je n'ai pas trouvé dans le log de fichiers ayant un rapport avec les DesktopHijack. Mr Prince dit que ca lui arrive quand il surf, mais il n'a pas de fond d'écran modifé ?J'y retournea+

balltrap34 · Answer

lol j est confondu avec un post ou l ecran etais modifier mais pazs de winfixer

S!Ri · Answer

Hello,Je viens de mettre en ligne la version 1.8 avec la recherche/suppression de la clé:HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard + celles listées ici:http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453087958a++

Utilisateur anonyme · Answer

salur sirimercipeut etre celle ci à rajouter:O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe homeet un probleme de detection de wininet ici:http://www.commentcamarche.net/forum/affich-1747901-Fond-d-%E9cran-ind%E9sirable-hijackdesktop#0oleext est detecté mais pas supprimé par le fix, wininet pas detecté alors que norton la detecte ?a+

S!Ri · Answer

Salut moe,Je regarde.Pour O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe homeJe regarderai ce soir... faut que j'aille bosser là.a+

Utilisateur anonyme · Answer

okbon courrage !!a+

Utilisateur anonyme · Answer

rejete un oeil ici, la recherche des fichiers crees en meme temps que oleext est assez fourniehttp://www.commentcamarche.net/forum/affich-1749623-infection-spysheriff#2005-08-22%2016%3A48%3A28a+

S!Ri · Answer

lol, j'étais justement en train de voir C:\WINDOWS\uninstIU.exe je met ce log de coté...

Utilisateur anonyme · Answer

oui, tu as remarqué pour kernel32.exe, pas detecté alors que le fix est passé 3 mn apres le hijack ?

S!Ri · Answer

Oui, c'est celle là que j'ai déja vu quelque part:O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe Le fix détecte:C:\WINDOWS\system32\intell32.exepourtant pas de clé en rapport alors qu'en général, il se trouve aussi dans le hijack.L'infection a du evoluer dans ces 3 minutes.

Utilisateur anonyme · Answer

un autre log du meme genre ici:http://board.protecus.de/t18976.htm

balltrap34 · Answer

celui la oui par symantecC:\WINDOWS\uninstIU.exe http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.desktophijack.html

balltrap34 · Answer

salutpeut etre cela a rajouterO4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home

Utilisateur anonyme · Answer

je lui avais déjà demandé (post195), mais il doit avoir du boulot en ce momentil doit y avoir aussi un nouveau fichier html car le fix detecte rien du tout ?

balltrap34 · Answer

okije repasse pas tous le post quand je rentre lol et j arrive pas a suivre correctement en n etant pas la la semaineet j aimerais qu il regarde si c est possible montruc des servicesil est sur un gros projet il me semble

Utilisateur anonyme · Answer

ouais, pour les services dsl mais je peux pas t'aider plus, j'arrive tout juste à faire quelques bat alors vbs, c++ ....faudra encore attendre quelques années lol

balltrap34 · Answer

oui et moi trop vieux et pas le temp de l apprendre et plus assez de memoire

S!Ri · Answer

SalutJe vais ajouter la ligneO4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe homeThanxxBalltrap, je n'ai pas bien saisi ton problème de services.Qu'est ce que tu souhaites faire exactement ?a+

balltrap34 · Answer

merci de me consacrer du tempje voudrait voir si c est possible de faire un progdans le style du prog en vbs pour la recherche dans le registreou l ont mettrait le nom d un service et qu il suppr se dit serviceavec le reg que je t avais miten s achant que le service n est jamis le meme d ou la difficulter et je sais pas si c est possible

S!Ri · Answer

Salut,Sous windows XP il y a les commandes:sc query qui liste les servicessc stop pour arrêter un servicesc delete pour le supprimeravec la commande reg (XP seulement) on peut exporter une clé spécifique du registre.Il faudrait donc (si j'ai bien compris):1- chercher le nom du service dans le une cké spécifique2- vérifier sa présence dans les services avec sc query3- Stopper le dit service4- Le supprimera+

Utilisateur anonyme · Answer

salut s!riest ce qu'un service peut refuser de se supprimer malgrès la commande sc delete ou un reg ?autre question:est ce qu'il est possible via une commande bat de modifier les autorisations sur plusieurs clés, en accordant le controle total pour tous les utilisateurs ?a+

balltrap34 · Answer

se que je voulais faire a ete fait sur bleepingcomputer lolje vous donne le scriptConst title = "Service Removal Tool"Set oWS = CreateObject("Wscript.Shell")sService = inputbox("Removing Service:",title,"cmdService")If sService = "" thenmsgbox "Script halted. No changes were made.", vbInformation, titlewscript.quitEnd IfstrComputer = "."Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\" & strComputer & "oot\cimv2")Set colListOfServices = objWMIService.ExecQuery _("Select * from Win32_Service Where Name = '" & sService & "' or displayName = '" & sService & "'")If colListOfServices.count > 0 ThenFor Each objService In colListOfServicesobjService.StopService()wscript.Sleep 5000objService.ChangeStartMode("Disabled")wscript.Sleep 2000objService.Delete()Msgbox "The " & sService & " service has been removed or marked for deletion.", vbInformation, titleNextElseMsgbox "The " & sService & " service was not found.", vbInformation, titleEnd Ifsauf que la il termine et suppr le serviceet certaine fois il resiste et il faut agir sur toutes les clef de serviceset l enlever du demarrage[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"xxxxxxx"=-[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ xxxxxxxxxx][-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxxxxxxxxxxx] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xxxxxxxxxxxxxxxxxxxx] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xxxxxxxxxxxxxxx]

Utilisateur anonyme · Answer

salut balltrapreste plus qu'a tester ;-)a+

balltrap34 · Answer

tu as pas du tous lire j est editer lol

S!Ri · Answer

Salut,Bien vu balltrap !Tu voudrais automatiser quel type de désinfection ?  11Fßä#·ºÄÖ`I ?Il doit bien exister certains cas ou un service a du mal à être supprimé.Mais en règle général, en le stoppant et en le supprimant du registre il ne résiste pas.Il existe aussi des clés spécifiques pour lancer le service en mode sans echec:http://www.commentcamarche.net/forum/affich-1699729-GROS-PB-de-VIRUS-mon-log-Hijack-ici-%5E%5E#3Pour ta deuxième question: Je ne pense pas que l'on puisse accorder des droits avec un batch. En tout cas les options de reg ou de regedit ne le permettent pas.a+

balltrap34 · Answer

salutS!Rise serait bien de pouvoir automatiser la suppression de n importe quelle service avec toutes les posibilite comme montrer dans le reg

jean38 · Answer

Salut balltrap,si t'as un moment, jette un oeil sur la post de michael, je crois que en compilant nos manip, j'ai remis dans l'ordre un traitement radical pour nail.bonne nuit, j'attandais la fin de son nettoyage mais je crois que bye.

S!Ri · Answer

Salut Le mieux est encore de proposer un fichier reg personnalisé pour supprimer un service récalcitrant. On cherche avec regsearch les clés responsables du démarrage du service et on les supprime. C'est encore ce qu'il y a de plus sûr par rapport à un programme (bot) qui automatiserait ceci. Hijackthis propose une option pour supprimer les services: Boutons [config], [Misc Tools], [Delete an NT service...]. On entre le nom du service et il est supprimé. (il faut que le service soit stoppé avant !) Ou alors sous xp: sc stop sc delete a+

balltrap34 · Answer

salutS!Ritu as raison je v est continuer a faire des reg perso

Utilisateur anonyme · Answer

salutil y a ici quelques fichiers et dossiers crées en meme temps que intell32 sur ces post:http://www.commentcamarche.net/forum/affich-1749623-infection-spysheriffhttp://www.commentcamarche.net/forum/affich-1749577-Infect%E9-par-Stealth-Hjacka+

balltrap34 · Answer

il y a de quoi faireles ztool a mon avis c est lier

Utilisateur anonyme · Answer

y en a quelques uns en effet, certains sont dans le fixpour d'autres c'est plus difficile de savoir si c'est lié ou pas

balltrap34 · Answer

il y a du purit scanet je n en est regarder que quelque un

S!Ri · Answer

Salut moe31Je vais approfondir ces logs demain.Depuis les fix en v1.8 utilisés dans les liens ci-dessus, j'ai ajouté certains fichiers .ico, .url, .lnk,  les tool?.exe, __delete_on_reboot__*.exe, svcnt32.exe ainsi que la clé O4 - HKLM\..\Run: [Start Page] j'attend aussi d'en savoir un peu plus sur worldantispy et d'avoir une copie d'un wininet.dll pour trouver un moyen d'identifier l'infection du fichier.Comme il n'y a pas modification du fond d'ecran, je pencherai plutot pour un nouveau fix qui effacerai la clé:[HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com] et un remplacement de wininet.dlla+

Utilisateur anonyme · Answer

istbar aussi et d'autresoit les pc etaient vraiment déjà infectés ou alors cette saleté envois une multi infection

balltrap34 · Answer

oui salutpourquoi pas il faut peut etre attendre un peu pour voir si l infection s etand

Utilisateur anonyme · Answer

y a une variante qui fait ca:http://www.webhelper4u.com/CWS/Research/screenimages/searchterrordesktop.html#Logfile%20of%20HijackThis%20v1.99.1et elle a du evoluer depuis qu'elle est sortie...

S!Ri · Answer

Smitfraud est la partie visible de l'iceberg car le fond d'ecran est modifé. Le problème vient souvant des infections par un trojan downloader small. Ce type de trojan est très (très) souvant un faux crack.small se connecte à un serveur et download un autre virus.Suivant la version de small, les serveurs sont différents ainsi que les infections. C'est sans fin... du moment que la machine est vérolée, c'est une porte ouverte aux autres virus.J'en ai discuté avec un compagnon de route de noahdfear (smitrem.exe)   Il se contente de rétablir le fond d'écran, si possible de remplacer wininet.dll et d'effacer le reste des infections avec hijackthis...

Utilisateur anonyme · Answer

salut s!rioui c'est surmais dans beaucoup de rapport de scan av j'ai finallement pas beaucoup vu de crack infectés par un downloader ?a+

S!Ri · Answer

Je n'ai pas de liens sous la main pour te montrer les logs de ce que j'avance... mais j'ai vu de nombreux crack et keygen detectés comme étant des trojan-downloader.Au fait, depuis quelques jours Spybot Search & Destroy detecte spysherrif et smitfraud.C:http://www.safer-networking.org/fr/updatehistory/index.html

Utilisateur anonyme · Answer

je te crois sur parole lolmais je crois aussi qu'une faille de ce genre:http://www.frsirt.com/bulletins/69ou une i-frame piégée peuvent aussi etre responsable de cette saleté.c'est une bonne chose que spybot, detecte et elimine (j'espere !) smitfraud et spysheriffa++

balltrap34 · Answer

il detecte mais vas t il pouvoir reparer je pense pasmais si il detecte au moins ceux qui ont spybot il seront bloquer par celui ci c est deja ca de gagner

S!Ri · Answer

loli-frame via IE et aussi par email via les failles OE...Oui, c'est une bonne chose. Cela faisait un moment en fait que SpyBot S&D détectait ces infections.. mais une nouvelle mise à jour est parue depuis peu.Il faudra tester si wininet.dll est aussi corrigée. Ce que ne semble pas faire la plupart des antivirus :-(

balltrap34 · Answer

je suis en train de faire tester sur un post

Utilisateur anonyme · Answer

oui, c'est vrai que les av n'arrivent pas bien à corriger wininet.je crois que valou sur ce post:your computer is infected" en fond d'écrisque de t'envoyer le wininet infecté.a+

balltrap34 · Answer

apres teste de spybootapparament il remet le fond d ecranspyscerif resiste et pour la wininet je sais pas encoremoe si je rentre pas se soir tu peut prendre la suite pour voirhttp://www.commentcamarche.net/forum/affich-1781317-Spysheriff#2005-09-06%2010%3A16%3A14merci

Utilisateur anonyme · Answer

salut s!riEst ce qu'il serait possible de rajouter ces fichiers au fix, on les voient de + en + dans une nouvelle variante : security 2kC:\WINDOWS\system32\mscornet.exeC:\WINDOWS\system32\ld???.tmpC:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32
vctrl.exe C:\WINDOWS\system32\msvol.tlbhttp://sandbox.norman.no/live_2.html?logfile=309098et peut etre ces entrées dans le registre à vérifierSOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorerunValue: wininet.dllSOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\ runValue: nvctrl.exeSOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}SOFTWARE\Classes\NVideoCodek.Chlhttp://www.sosordi.net/Depannage/Question.93881.htmla++

Utilisateur anonyme · Answer

ca a l'air de se confirmer pour cette clé:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\runwininet.dll mscornet.exekernel32.dll C:\WINDOWS\System32\mssearchnet.exenvctrl.exe nvctrl.exehttp://www.webuser.co.uk/forums/showflat.php?Number=221927a+

S!Ri · Answer

Salut moe,Je vais ajouter cela. Je te tiens au courant.Je suis en train de faire des recherches sur ces clés:http://www.commentcamarche.net/forum/affich-1794228-log-hijackthis-%E0-v%E9rifier-Nsag-b-et-PSGuardJe vais réflechir à un moyen de scanner le registre en adaptant regsearch afin de rechercher la séquence PSGuard. Si le temps de scan n'est pas trop long, le résultat sera intégré au rapport de la sélection 1.mercia++

S!Ri · Answer

Ca à l'air de se confirmer:http://www.commentcamarche.net/forum/affich-1806423-Spyware-PsGuardmscornet.exe, dans la liste des fichiers à la même date de l'infection...a+

Utilisateur anonyme · Answer

salut s!ribonne idéepour les clés que tu recherches, une bonne partie à l'air d'etre confirmé ici:http://www.geekstogo.com/forum/index.php?showtopic=60114a+

Utilisateur anonyme · Answer

et là:http://labs.paretologic.com/spyware.aspx?remove=PSGuardà noter, ces 2 dossiers  :%appdata%\Shudder Global Limited %appdata%\PSGuard.com a+

S!Ri · Answer

SalutLa nouvelle version (1.85) est en ligne.Voila la liste des modifications:[HKey_Classes_Root\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}][HKey_Classes_Root\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}][HKey_Classes_Root\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}][HKey_Classes_Root\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}][HKey_Classes_Root\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}][HKey_Classes_Root\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}][HKey_Classes_Root\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}][HKey_Classes_Root\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}][HKey_Classes_Root\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}][HKey_Classes_Root\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}][HKey_Classes_Root\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}][HKey_Classes_Root\CLSID\{52034AD2-914C-4634-B375-9299631E5525}][HKey_Classes_Root\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}][HKey_Classes_Root\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}][HKey_Classes_Root\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}][HKey_Classes_Root\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}][HKey_Classes_Root\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}][HKey_Classes_Root\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}][HKey_Classes_Root\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}][HKey_Classes_Root\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorerun]"wininet.dll"=-"kernel32.dll"=-"nvctrl.exe"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objecta\{893fad3a-931e-4e53-b515-b1426d63799b}][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{893fad3a-931e-4e53-b515-b1426d63799b}]%system%\mscornet.exe%system%\mssearchnet.exe%system%
vctrl.exe%system%
compat.tlb%system%\msvol.tlb%system%\ld????.tmp%appdata%\Shudder Global Limited\%appdata%\PSGuard.com\

Utilisateur anonyme · Answer

salut s!ri,
cela fait pas mal de temps que je ne t avais pas vu, ca va?
Par contre, je n ai pas trop suivi ce poste et je ne sais ce que tu as rajouté, ce fix detecte quioi clairement actuellement (il evolut tant lol)

Super boulot en tout cas.Merci

PS/ pour avoir la nouvelle version, ton lien se met a jour directement?
http://siri.urz.free.fr/Fix/SmitfraudFix.zip ?

a+

S!Ri · Answer

Salut regisJ'ai pas mal de boulot en ce moment (heureusement pour moi ;) ). Mes passages sur le forum se résument à une lecture rapide des posts...Le lien pour smitfraudfix est toujours le même:http://siri.urz.free.fr/Fix/SmitfraudFix.zipAinsi la mise à jour est automatique si on utilise tous ce lien.Je te retourne le compliment (a toi et au reste de l'équipe)Un super boulot que vous faites ! Toujours fidèles au poste. :)Voila en gros le changelog (il n'est pas complet)Version 1.85[HKey_Classes_Root\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}][HKey_Classes_Root\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}][HKey_Classes_Root\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}][HKey_Classes_Root\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}][HKey_Classes_Root\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}][HKey_Classes_Root\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}][HKey_Classes_Root\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}][HKey_Classes_Root\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}][HKey_Classes_Root\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}][HKey_Classes_Root\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}][HKey_Classes_Root\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}][HKey_Classes_Root\CLSID\{52034AD2-914C-4634-B375-9299631E5525}][HKey_Classes_Root\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}][HKey_Classes_Root\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}][HKey_Classes_Root\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}][HKey_Classes_Root\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}][HKey_Classes_Root\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}][HKey_Classes_Root\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}][HKey_Classes_Root\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}][HKey_Classes_Root\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorerun]"wininet.dll"="mscornet.exe""kernel32.dll"="C:\WINDOWS\System32\mssearchnet.exe""nvctrl.exe"="nvctrl.exe"SOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objecta\{893fad3a-931e-4e53-b515-b1426d63799b}][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{893fad3a-931e-4e53-b515-b1426d63799b}]%system%\mscornet.exe%system%\mssearchnet.exe%system%
vctrl.exe%system%
compat.tlb%system%\msvol.tlb%system%\ld????.tmp%appdata%\Shudder Global Limited\%appdata%\PSGuard.com\Version 1.84%system%\casino.ico%system%\date.ico%system%\games.ico%system%\mobile.ico%system%
etwork.ico%system%\pharm.ico%system%\pharm2.ico%system%\scanner.ico%system%\spam.ico%system%\spyware.icoVersion 1.82C:\Windows	ool1.exeC:\Windows	ool3.exeC:\Windows	ool4.exeC:\Windows	ool5.exeC:\Windows\__delete_on_reboot__popuper.exeC:\WINDOWS\system32\svcnt32.exeC:\Windows\System32\__delete_on_reboot__intmon.exeC:\Windows\System32\__delete_on_reboot__intel32.exeC:\Windows\System32\__delete_on_reboot__intell32.exeC:\Windows\System32\__delete_on_reboot__OLEADM.dllC:\Windows\System32\Air Tickets.icoC:\Windows\System32\Big Tits.icoC:\Windows\System32\Blackjack.icoC:\Windows\System32\Britney Spears.icoC:\Windows\System32\Car Insurance.icoC:\Windows\System32\Cheap Cigarettes.icoC:\Windows\System32\Credit Card.icoC:\Windows\System32\Cruises.icoC:\Windows\System32\Currency Trading.icoC:\Windows\System32\Lesbian Sex.icoC:\Windows\System32\MP3.icoC:\Windows\System32\Online Betting.icoC:\Windows\System32\Online Gambling.icoC:\Windows\System32\Oral Sex.icoC:\Windows\System32\Party Poker.icoC:\Windows\System32\Pharmacy.icoC:\Windows\System32\Phentermine.icoC:\Windows\System32\Pornstars.icoC:\Windows\System32\Remove Spyware.icoC:\Windows\System32\viagra.icoC:\Documents and Settings\****\Desktop\Air Tickets.urlC:\Documents and Settings\****\Desktop\AntivirusGold.lnkC:\Documents and Settings\****\Desktop\Big Tits.urlC:\Documents and Settings\****\Desktop\Blackjack.urlC:\Documents and Settings\****\Desktop\Britney Spears.urlC:\Documents and Settings\****\Desktop\Car Insurance.urlC:\Documents and Settings\****\Desktop\Cheap Cigarettes.urlC:\Documents and Settings\****\Desktop\Credit Card.urlC:\Documents and Settings\****\Desktop\Cruises.urlC:\Documents and Settings\****\Desktop\Currency Trading.urlC:\Documents and Settings\****\Desktop\Lesbian Sex.urlC:\Documents and Settings\****\Desktop\MP3.urlC:\Documents and Settings\****\Desktop\Online Betting.urlC:\Documents and Settings\****\Desktop\Online Gambling.urlC:\Documents and Settings\****\Desktop\Oral Sex.urlC:\Documents and Settings\****\Desktop\Party Poker.urlC:\Documents and Settings\****\Desktop\Pharmacy.urlC:\Documents and Settings\****\Desktop\Phentermine.urlC:\Documents and Settings\****\Desktop\Pornstars.urlC:\Documents and Settings\****\Desktop\Remove Spyware.urlC:\Documents and Settings\****\Desktop\SpySheriff.lnkC:\Documents and Settings\****\Desktop\viagra.urlO4 - HKLM\..\Run: [Start Page]Version 1.8C:\Program Files\internet explorer\ieengine.exeO4 - HKCU\..\Run: [IEengine][-HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard]version 1.7F2 - REG:system.ini: Shell=Explorer.exe sysinit32z.exeC:\WINDOWS\system32\sysinit32z.exeC:\WINDOWS\system32	aras.exeversion 1.6C:\Windows	ool2.exeVersion 1.5C:
tdetecd.exeC:\Windows\System32\vxh8jkdq?.exeVersion 1.4C:\Program Files\Daily Weather Forecast\04 - HKLM\..\Run: [Daily Weather Forecast]Version 1.3C:\Windows\System32\oleext.dllC:\Windows\System32\oleext32.dllC:\Windows\System32\wppp.htmlO4 - HKCU\..\Run: [SNInstall]Version 1.1C:\Program Files\SpyKiller\C:\Windows\System\svchost.exeC:\Windows\System32\intell32.exeC:\Windows\System32\kernels32.exeC:\Windows\System32\vxgame?.exeC:\Windows\System32\vxgamet?.exeF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exeF2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exeO4 - HKCU\..\Run: [SpyKiller]O4 - HKLM\..\Run: [intell32.exe]O4 - HKLM\..\Run: [System]O4 - HKLM\..\Run: [WindowsUpdate]O4 - HKLM\..\RunServices: [SystemTools]Version 1.0C:\Windows\System32\gunist.exeC:\Windows\System32\param32.dllC:\Windows\System32\pop_up.dllC:\Windows\System32\searchdll.dllC:\Windows\System32\svchosts.dllC:\Windows\System32\LogFiles\T54111925.soC:\Windows\System32\LogFiles\H53131712.soC:\Windows\System32\LogFiles\A54102200.soC:\Windows\System32\LogFiles\S53252000.soC:\Windows\System32\LogFiles\A04111925.soC:\Windows\System32\LogFiles\M54111925.soC:\Windows\System32\LogFiles\P54111925.soVersion 0.xC:\bsw.exeC:.exeC:\winstall.exeC:\wp.bmpC:\wp.exeC:\Windows\desktop.htmlC:\Windows\popuper.exeC:\Windows\screen.htmlC:\Windows\sites.iniC:\Windows\uninstIU.exeC:\Windows\windows.htmlC:\Windows\zloader3.exeC:\Windows\System32\helper.exeC:\Windows\System32\hhk.dllC:\Windows\System32\hookdump.exeC:\Windows\System32\hp????.tmpC:\Windows\System32\intel32.exeC:\Windows\System32\intmon.exeC:\Windows\System32\intmonp.exeC:\Windows\System32\msmsgs.exeC:\Windows\System32\msole32.exeC:\Windows\System32\ole32vbs.exeC:\Windows\System32\oleadm.dllC:\Windows\System32\oleadm32.dllC:\Windows\System32\perfcii.iniC:\Windows\System32unsrv32.dllC:\Windows\System32unsrv32.exeC:\Windows\System32\shnlog.exeC:\Windows\System32\spoolsrv32.exeC:\Windows\System32\srpcsrv32.dllC:\Windows\System32\srpcsrv32.exeC:\Windows\System32\svcnt.exeC:\Windows\System32	xfdb32.dllC:\Windows\System32\w8673492.exeC:\Windows\System32\winnook.exeC:\Windows\System32\wldr.dllC:\Windows\System32\wp.bmpC:\Windows\System32\LogFiles\A5281300.soC:\Windows\web\desktop.htmlC:\Windows\web\wallpaper.htmlC:\Documents and Settings\****\Application Data\Install.datC:\Program Files\AdwareDelete\C:\Program Files\AntivirusGold\C:\Program Files\PSGuard\C:\Program Files\Search Maid\C:\Program Files\Security IGuard\C:\Program Files\SpySheriff\C:\Program Files\Virtual Maid\C:\spywarevanisher-free\O4 - HKCU\..\Run: [Intel system tool]O4 - HKCU\..\Run: [SpySheriff]O4 - HKCU\..\Run: [Windows installer]O4 - HKCU\..\Run: [WindowsFY]O4 - HKCU\..\Run: [WindowsFZ]O4 - HKLM\..\Run: [Fast Start]O4 - HKLM\..\Run: [intel32.exe]O4 - HKLM\..\Run: [Intel system tool]O4 - HKLM\..\Run: [MSN Messenger]O4 - HKLM\..\Run: [PSGuard]O4 - HKLM\..\Run: [PSGuard spyware remover]O4 - HKLM\..\Run: [RegSvr32]O4 - HKLM\..\Run: [WindowsFZ][-HKEY_CURRENT_USER\SOFTWARE\SpySheriff][-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold][-HKEY_LOCAL_MACHINE\SOFTWARE\AdwareDelete]a++

Utilisateur anonyme · Answer

re s!riNickel , c est ce que je cherchais lolMerci a toi de m avoir repondu, il devient de plus en plus complet, c est genial, on pourra l utiliser sur tous les postes bientot lolAmitié

S!Ri · Answer

lol,

uniquement les infections de type DesktopHijack: Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, Security2k

et uniquement winXP/Win2k. Par manque de temps, je n'ai pas pu terminer la version 9x/Me.

a+

Utilisateur anonyme · Answer

Super pour les precisions,Merci s!ri et demande une augmentation a ton patron lol

balltrap34 · Answer

salut S!RItu as vu cecihttp://www.lavasoftresearch.com/blog/?p=78

S!Ri · Answer

Salut,

La nouvelle variante à l'air plus agressive.
J'en voudrais bin une copie aussi pour analyser: submitvirus@aim.com
Je viens de preparer un système a infecter pour analyser les dégats des virus...

balltrap34 · Answer

salutle premier qui la je lui dit de te l envoyer

S!Ri · Answer

Ok merci :)a+

Utilisateur anonyme · Answer

salut s!riQuel sont les outils de bases pour analyser les dégats causés par un virus ou spy (entrées registre,modifs, création fichiers....) sur un pc test ?mercia+

S!Ri · Answer

Salut moe,

Les outils de base:
RegMon - Registry Monitor ( www.sysinternals.com )
FileMon - File Monitor ( www.sysinternals.com )
TdiMon - TCP-IP Monitor ( www.sysinternals.com )

Ces softs vont te permettre de voir les clés, les fichiers qui sont consultés/modifiées, ainsi que les connexions effectuées.

Tu peux aussi installer un désassembleur pour vérifier le code de l'executable, un sniffer pour analyser les paquets envoyés sur le réseau.

Et bien sur, le virus a analyser.

Pour le système, l'idéal est de travailler sur une machine virtuelle ( si tu as un gentil boss qui te paye vmware par exemple :-) ).

Il doit y avoir un lien qui explique ca en anglais.. je vais chercher
a+

Utilisateur anonyme · Answer

salut s!ri

merci
je connaissais 2 des 3 progs de sysinternals : regmon et filemon que j'utilise depuis quelque temps, je connais un peu moins tdimon.
J'ai pas la prétention de vouloir analyser des virus, mais je vais recupérer un pc d'ici peu et j'aimerais bien tenter de faire quelques tests, histoire de comprendre un peu mieux.
Si tu connais un desassembleur gratuit, qui me permettrait de me familiariser avec ce type d'outils n'hésite pas...
Je vais chercher de mon coté s'il en existe de gratuits et dont on peut facilement trouver des tutos.

a++

S!Ri · Answer

En gratuit il y a :
HT ici : http://hte.sourceforge.net/index.html
ou HackMan Disassembler ici: http://www.technologismiki.com/en/index-h.html

Filalyser: http://www.safer-networking.org/fr/filealyzer/index.html
est un très bon soft qui permet d'analyser le contenu d'un fichier.

a+

Utilisateur anonyme · Answer

merci ;-)a+

S!Ri · Answer

Salut,

Je viens de faire une mise à jour de smitfraudfix:

Version 1.86:
%homedrive%\loader.exe
%windir%\kl.exe
%windir%\ms1.exe
%system%\cmdtel.exe
%system%\combo.exe
%system%\doser.exe
%system%\latest.exe
%system%\paytime.exe
%system%\sender.exe
%system%\socks.exe
%system%\sysvcs.exe
%system%\zlbw.dll
O4 - HKLM\..\Run: [combo.exe]
O4 - HKLM\..\Run: [PayTime]
O4 - HKCU\..\Run: [aupd]
O4 - HKCU\..\Run: [PayTime]

A noter que cmdtel.exe s'enregistre comme un service avec pour nom KDE.
Utiliser la commande sc delete KDE avec windows XP (Cette commande n'existe pas sous win2K... utiliser net stop kde ou les outils d'administrations pour stopper le service, puis HijackThis-->Config->Misc Tools->Delete an NT service pour le supprimer)...

---

De plus, lors de mes tests, j'ai été infecté par Haxdoor.

Le symptome dans HijackThis est la ligne:
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

Supprimer les fichiers suivant avec Killbox (avec l'option delete on reboot)
%system%\msudp4.sys
%system%\tcpG4T.dll

Puis effacer la ligne O20 dans Hijackthis.

a+

Utilisateur anonyme · Answer

salut s!ri

J'ai vu quelques fois, ceux là aussi:
%windir%\ms2.exe
%windir%\ms3.exe
et celui là, surtout avec haxdoor
C:\winld32.dll

Msudp4 à l'air de créer un service, est ce qu'il est possible de supprimer ce service via hijackthis ? (n'apparait pas dans le gestionnaire des services)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUDP4]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUDP4\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUDP4\0000]
"Service"="msudp4"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSUDP4]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSUDP4\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSUDP4\0000]
"Service"="msudp4"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUDP4]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUDP4\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUDP4\0000]
"Service"="msudp4"

a+

S!Ri · Answer

Salut moe,les dernieres versions de Haxdoor rendent le fichier tcpg4t.dll invisible.lors de l'infection, j'avais aussi un autre fichier lslY4.dll dans les O20 mais celui là est parti plus facilement... est-ce lié ???J'ai utilisé Killbox (avec reboot) pour le supprimer.HijackThis ne le supprime pas avec un simple fix: il faut cliquer sur:HijackThis ->Config -> Misc Tools -> Delete an NT service et entrer le nom du service (msudp4).Sinon la commande sc delete msudp4 sous windows XP.a+

Utilisateur anonyme · Answer

en fait, je voulais savoir si tu avais testé de supprimer le service via Delete an NT service d'hijackthis.je te demande ca, parce que je me suis appercu que pour beaucoup de fichier *.sys qui crées un service, la plupart sont très difficiles à désactiver via hijackthis, *.reg ou par la commande sc, la seule solution qui a marché, c'est de changer l'autorisation des clés concernées en controle total, pour pouvoir les supprimer.Et ce, quelque soit le mode ou compte d'utilisateur utilisé et toujours apres suppression des fichiers infectés.C'est volontaire ou bien est ce un bug ?

S!Ri · Answer

Je n'ai pas encore rencontré ce problème, pour l'instant, a chaque fois que j'ai fait un sc ou un Delete an NT Service... ca a fonctionné. Peut être avais-je tout les droits.En fait, je m'assure d'avoir viré les fichiers concernés si ca commence a coincer.

balltrap34 · Answer

salut sur se genre de truc j est souvent virer le service avec se regWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]"start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]"start"=-[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"rdriv.sys"=-"WinAwk.exe"=-[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Configuration Loader] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Configuration Loader] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Configuration Loader]

S!Ri · Answer

Salut BalltrapC'est une facon de virer un service quand ca coince. par contre, les lignes là sont inutiles:-----[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]"start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]"start"=- -----car plus tard tu effaces la clé:[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]

balltrap34 · Answer

j est bloquer sur certain services sans ces lignesje pense que le fait de l arreterest une securite de plus

Utilisateur anonyme · Answer

salutle service Windows Configuration Loader, n'existait pas sur le log en question, mais il s'agissait du service spdcheck.Service qui n'apparaisait pas dans le gestionnaire des services.Apres suppression du fichier, j'ai fais supprimer le service spdcheck et rdriv (en mode sans echec) par delete an nt service d'hijackthis, résultat message d'erreur.De retour en mode normal, les fichiers n'étaient plus présents mais les services étaient encore là.Confirmé par regsearch.je fais faire ces 2 commandes:sc stop spdcheck message: le service n'a pas été démarré sc delete spdcheck message:  [SC] delete service succes nouvelle recherche avec regsearch, qui detecte encore 2 clés (la plupart ayant quand meme été supprimées):HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECKHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheckapres un essai de suppression via un reg, il a fallu modifier les autorisations pour pouvoir les supprimer.Meme manip pour rdriv, et meme resultat pour pouvoir le supprimer.a+

balltrap34 · Answer

les nom de services mis plus haut sont des exemplesil faut mettre les services en cause

Utilisateur anonyme · Answer

salut balltrapoui, mais le prob c'est que meme apres le reg les entrées y sont toujours et impossible de supprimer à la main sans changer les autorisations ??a+

balltrap34 · Answer

lolj est encore pas eu se problememais bon tu as trouver la soluce en prenant les autorisations

Utilisateur anonyme · Answer

oui, pour rdriv par exemple le reg passait impec, mais apres un regsearch, il reapparaissait lol

balltrap34 · Answer

c est bizzard que le reg passecela veut dire qu il accepte la modifhors si il ny a pas les autorisations il ne devrait pas passer?et apres les autorisations il n est pas revenues?

Utilisateur anonyme · Answer

non, apres modif des autorisation pour chaques clés à virer et suppr manuelle, rdriv n'est pas reapparru dans le registre.Apres avoir viré les services, j'ai fais faire un scan av, 1 fichier détecté :c:\windows\system32\ipeut etre qui était chargé d'empecher les modifs des services ou de les recréer ?

balltrap34 · Answer

a tentersuppr en premier se fichieret ensuite faire le reg et la voir si il revienne

S!Ri · Answer

salutbien vu moe, la solution est donc de se donner les droits avant suppression des clés !J'avais un problème identique pour supprimer haxdoor (et là, ce n'était pas un service !). Les clés réapparaissaient après suppression manuelle/hijack ou *. reg.Le processus doit certainement réécrire les clés toutes les x secondes.Dans le cas de Haxdoor, ce qui complique la chose avec la nouvelle variante, c'est que le fichier tcpg4.dll est complètement invisible.Il n'y a qu'après suppression avec killbox (au reboot) que j'ai pu le supprimer.a+

Utilisateur anonyme · Answer

salutC'est peut etre le role de Msudp4.sys alors ?Surveiller les clés concernant tcpg4.dll et masquer le processus ?Ca n'a peut etre rien à voir, et je vais surement dire une bétise, mais j'ai lu que msudp4.sys s'installait comme un "system driver service" (exactement pareil que le rootkit rdriv.sys dans mon cas).Est ce qu'il ni aurait pas moyen de le desinstaller via le gestionnaire des periphériques ?Je dis ca car j'avais vu le cas pour msdirectx.sys et searchdom, msdirectx s'enregistrant comme Pilotes non plug-and-play, et on pouvait le supprimer de cette facon.Ce n'était peut etre qu'un cas particulier...a+

balltrap34 · Answer

pour S!RI ou moe si tu c estpeut tu faire un vbs style regsearch ou dans la fenetre on tape le nom d un exeet que l ont est comme resultat si il existe et tous les exe et fichier crer a la meme dateje sais le faire en fichier bat mais il faut a chaque fois changer le nom de l exe donc long et aussi a uploder a chaque foismerci

Utilisateur anonyme · Answer

salut balltrappour le vbs il faudra voir avec s!ri dsl, mais je pense que ca doit etre possible en bat aussi.il me semble avoir essayé dans faire un, je vais regarder si je l'ai pas effacé, sinon j'essayerais d'en refaire un.c'est pour rechercher un fichier sur tout le DD ou dans des dossier s bien precis ?a+

balltrap34 · Answer

en bat je l est faitmais il serais bien que se soit comme regsearch le gars ont lui dit de tapez tel exe et ont a le rapporten bat cela donne ceci @ECHO OFF:versionclsif exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txtecho.echo.>>%Systemdrive%\rapport.txtecho Rapport fait à %time% le %date%>>%Systemdrive%\rapport.txtfor /f "Tokens=*" %%i in ('cd') do set CurDir=%%iecho Executé à partir de %CurDir%>>%Systemdrive%\rapport.txtIF ERRORLEVEL 1 (echo Executé à partir de >>%Systemdrive%\rapport.txtcd >>%Systemdrive%\rapport.txt)for /f "Tokens=*" %%i in ('ver') do set Version=%%iecho OS: %Version%>>%Systemdrive%\rapport.txtecho.>>%Systemdrive%\rapport.txt:searchecho.echo.>>%Systemdrive%\rapport.txtecho Recherche presence intell32.exe...echo Recherche presence  intell32.exe...>>%Systemdrive%\rapport.txt if exist %Windir%\System32\intell32.exe (echo intell32.exe Présent !>>%Systemdrive%\rapport.txtgoto rech) else (echo non trouvé...>>%Systemdrive%\rapport.txtgoto fin):rechecho.echo.>>%Systemdrive%\rapport.txtecho Recherche des processus crées à la meme date:>>%Systemdrive%\rapport.txt dir %windir%\System32\intell32.exe /4 /A /N /-C>%systemdrive%\result.txt type %systemdrive%\result.txt | find /i "intell32.exe">%systemdrive%\result2.txt for /f "tokens=1" %%a in (%systemdrive%\result2.txt) do set filedate=%%a echo %filedate% dir %windir%\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\%%a>>%Systemdrive%\rapport.txtdir %windir%\system32\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\System32\%%a>>%Systemdrive%\rapport.txtif exist %systemdrive%\result.txt del %systemdrive%\result.txtif exist %systemdrive%\result2.txt del %systemdrive%\result2.txtgoto fin:finnotepad %Systemdrive%\rapport.txtif exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txtexit******************mais cela oblige a changer le nom de l exe a chaque fois et a uploder le bat

Utilisateur anonyme · Answer

je voulais dire, une fois qu'on tape le nom du fichier à rechercher, tu veux que ca recherche dans des dossiers bien précis ou sur tout le DD ?

balltrap34 · Answer

surtout dans windows--la chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

si ca t'interresse j'ai un bat qui peut te depanner:il fonctionne comme ca:1/ il demande le nom du fichier à rechercher (il faut juste mettre le nom du fichier plus l'extention explorer.exe par exemple)2/ ensuite il recherche ce fichier dans 3 dossiersc:\c:\windowsc:\windows\system32s'il le trouve, il recherche les fichiers crées à la meme date dans:c:\c:\windowsc:\windows\system32j'essaye de trouver une facon de scanner tout le disque dur, mais j'arrive pas à faire afficher dans le rapport le chemin du dossier dans lequel il est trouvé.il me semble que s!ri avait commencé un vbs dans le style de regsrch, mais pour les fichiers.http://www.commentcamarche.net/forum/affich-1686875-SmitfraudFix-DesktopHijack-AVGold#158mais je sais pas s'il l'a continué.a+

balltrap34 · Answer

salutc est exactement cela que je voulais fairedonne moi le stpet je vais voir se que avait fait sret pour ta recherche si tu met systeme drive il te donne pas le chemin?

Utilisateur anonyme · Answer

ici:http://cjoint.com/?keoqceou6f

balltrap34 · Answer

merci c est impecje m absentea++

Utilisateur anonyme · Answer

okia++

Utilisateur anonyme · Answer

salut s!ripeut etre quelques fichiers à rajouter au fixO4 - HKLM\..\Run: [AdService] C:\WINDOWS\System32\AdService.dllO4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe O4 - HKLM\..\Run: [FSH] C:\WINDOWS\system32\svcnva.exe home vus ici:http://www.commentcamarche.net/forum/affich-1853751-Fond-d-%E9cran-bizarre-trojan#2005-10-15%2013%3A55%3A00a++

Utilisateur anonyme · Answer

on les retrouvent tout les 3 ici aussi:http://www.dslreports.com/forum/remark,14539986a+

Utilisateur anonyme · Answer

Hello,Eh béh c'est très bien... moi qui faisais des recherches en vain sur ces trois fichiers (peu d'infos on dirait que la plupart des log les contenants attendent toujours d'être étudiés lol).Donc n'ayant pas bcp d'infos rassurantes, j'étais partie pour faire fixer par HjT et tout le tintouin...Mais là j'ai confirmation que c'est des baddies.Merci de veiller Moe :-)Je repasserai voir au caz'où si vous avez ajouté ces fichiers au cmd. J'imagine que S!Ri précisera si l'ajout est effectif.Mes compliments aux concernés pour cet outil, merci  ;-)Bubye !

S!Ri · Answer

HelloJ'ai pris un peu de distance avec CCM ces derniers temps. Faudra que je repasse plus souvant verifier les posts :)Je note ce que vous avez trouvé. Et je vais les ajouter au plus tôt. merci.De mon coté, je cherche a me faire infecter, en vain, par PSGuard.Je me suis chopé plusieurs fois Smitfraud.C en entrainant le couple WinXP/IE (sans mises à jours et sans protection) sur des sites peu recommendables.Cela m'a permi d'analyser et de comprendre un peu plus les modes d'infection: "iframe exploit" -> Pas de double-click, ni d'installation, ni d'activeX. Un Windows qui n'est pas à jour et une visite sur un site concu pour infecter suffit. Les cracks ne sont pas le mode de propagation premier de ces infections comme je le disais il y a quelques temps (bien que les sites mal forgés soient liés aux cracks et au porno).a+

Utilisateur anonyme · Answer

salut s!riPas de liens à te donner pour psguard, mais si tu veux tester une des dernière qui est en cours (RazeSpyware) tu devrais pouvoir trouver ca ici:http://www.webhelper4u.com/CWS/Research/screenimages/cws_waiteexploit.htmlet plus généralement là, tu devrais pouvoir trouver ip et domaines à tester.http://www.webhelper4u.com/CWS/index.html#a+++

S!Ri · Answer

Salut,Merci moe, je vais regarder ca.En attendant:Smitfraudix Version 1.87O4 - HKLM\..\Run: [P.S.Guard]O4 - HKLM\..\Run: [AdService]O4 - HKLM\..\Run: [FSH]%ProgramFiles%\P.S.Guard\ <-- répertoire%system%\AdService.dll%system%\svcnva.exe J'ai aussi remplacé l'analyse des fichiers crés le même jour que intell32.exe par svcnva.exe (qui semble être le trojan downloader).a++

Utilisateur anonyme · Answer

salut s!riSurement celui ci aussi à rajouter, dsl je ne viens de le voir il n'y a pas longtemps.C:\WINDOWS\warnhp.html http://www.commentcamarche.net/forum/affich-1855268-nsag-virus#3Une dernière chose aussi, dans smitfraud.cmd (vs 1.86), juste après la création du reg pour le nettoyage du registre:if exist cleanup.reg (regedit /s cleanup.regrem del cleanup.regecho.echo Nettoyage termin‚.echo Nettoyage terminé.>>rapport.txt ) ELSE .....je crois qu'il y a un rem qui empeche la suppression du reg, non ?a++ et merci

S!Ri · Answer

Merci pour les liens.après 2-3 tests, je me fais toujours infecter par de vieilles versions.Je vais persister ;-)J'avoue me perdre dans l'organisation du site WebHelper4u. J'avais pourtant vu cette partie du site... thanxxa+

balltrap34 · Answer

salut S!Ric est vrai que l ont si perd sur se site

S!Ri · Answer

Hello Balltrap34J'ai insisté sur les adresses données par WebHelper4u et je me suis pris plusieurs infections. Je vais regarder les logs (fichiers/registre/sniffer) de plus près dès que j'aurais un moment de libre.a+

balltrap34 · Answer

oki bonne continuation

Utilisateur anonyme · Answer

salut s!riTu as trouvé ce que tu cherchais ?juste pour rajouter peut etre celui ci:C:\WINDOWS\system32\shdocnva.dll qui reviens souvent.a++

S!Ri · Answer

Salut moe,Je contrôle ce fichier et je l'ajoute.J'ai trouvé ce que je cherchait, oui, merci.Je suis en plein dans les logs... J'ai enregistré plusieurs infections interessantes (clés du registre créés/modifiés, fichiers créés, capture de com. réseau). La très grosse majorité utilise des exploits sur des fichiers java, .chm, .cab, iframe.a+

Utilisateur anonyme · Answer

salut s!riok, tiens nous au courant..je regardais le log de filemon que tu m'avais fais passer, c'est impressionnant, en 7/8 mn l'infection est pratiquement au complet.Pour les exploit, il me semble qu'il y a un lien vers un .chm qui à l'air d'etre assez recent:O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!hxxp://205.177.122.27/docs/xxx/html.chm::/html.exe a+

balltrap34 · Answer

salut tous les deuxapparament ceci resiste au fix donc a rajouter je penseHKLM\SOFTWARE\PSGuard.com HKLM\SOFTWARE\PSGuard.com\PSGuard HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License retrouver sur plusiurs log

Utilisateur anonyme · Answer

salut balltrapTu te fais rare en ce moment, toujours à la chasse ?a+

S!Ri · Answer

Salut !Et zou Version 1.89%system%\shdocnva.dllHKLM\SOFTWARE\PSGuard.comPour l'instant la supression de la clé "PSGuard.com" se fait de facon classique. A voir s'il ne faudra pas ruser comme pour la "HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard" si elle resiste au nettoyage.a++

Utilisateur anonyme · Answer

salut siriemerci, tu nous ai indispensable !!!!Bon week end a toi

S!Ri · Answer

SalutMoe et Balltrap me sont indispensable pour leur contribution au projet de smitfraudfix... merci a eux !Bon Week End a toi aussi.

balltrap34 · Answer

salut tous les troisoui je me fait rare mais je n abandonne pas lol

Utilisateur anonyme · Answer

salut balltrapCa fait plaisir à entendre, lolJe commencais à me poser des question.Toujours en congès ?a+

Utilisateur anonyme · Answer

J espere pour nous !!!!!Sinon ton bahu je le retrouverais !!!! lol

balltrap34 · Answer

non non pas de congesje donne des lecon de moto a ma chere et tendreje recherche de nouvelle chiennes

Utilisateur anonyme · Answer

ah d'accordJe savais pas que tu faisais de la moto aussi !en ballade alors ?a+

balltrap34 · Answer

je ne fait pas tous le temp de la moto because je n en est pas pour moimais j est acheter une 125 custom pour ma miss style harleyet je comte sous peu acheter un 1500vn kawa ou un intrudercomme mon mome vas avoir 14 ans il auras aussi sa becane et ont ferat des ballades en familles

Utilisateur anonyme · Answer

et voilà balltrap de nouveau sur les routes, lolhttp://www.lerepairedesmotards.com/img/fond/kawasaki_vn1500_.jpga++

Utilisateur anonyme · Answer

lolT en a pas marre d avaler des kilometres Gerard?

balltrap34 · Answer

c est presque moi en moins costaud

S!Ri · Answer

SalutJ'ai eu le temps d'anayliser quelques logs d'infections ce weekend...Version 1.91%system%\split.exe%system%\split1.exe%system%\split2.exe%system%\maxd1.exe%system%\efsdfgxg.exe%system%\birdihuy.dll%system%\birdihuy32.dll%system%\web.exe%system%\yaemu.exe%system%\svchop.exe%system%\shdochop.dllHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main: [Start Page]O4 - HKLM\...\Run: [Explorer32]O4 - HKLM\...\Run: [yaemu.exe]O4 - HKLM\...\Run: [FH]HKEY_CLASSES_ROOT\CLSID\{F33812FB-F35C-4674-90F6-FD757C419C51}HKEY_CURRENT_USER\Software\Classes\CLSID\{F33812FB-F35C-4674-90F6-FD757C419C51}a++

Utilisateur anonyme · Answer

Merci S!riL homme de l'ombre indispensable lolBonne semaine a toi

S!Ri · Answer

Merci, bonne semaine a toi aussia++

balltrap34 · Answer

salutS!Ritrouver que tu pouvais te faire infecter par spysceriff sur lycosavec un java script executer depuis le serveur de redscheriffavec comme fichier infecter bla.exew.exewinstyle2.dllet clefs de registreHKEY_CURRENT_USER\SOFTWARE\Microsoft\style2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\style2a verifier

jean38 · Answer

salut balltrap,as tu lu????????????????http://www.commentcamarche.net/forum/affich-1871194-Merci#1a+jean

balltrap34 · Answer

salut jeanoui dur dur

S!Ri · Answer

Salutcomme tu dis balltrap: dur durQui va corriger les erreurs de smitfraudfix ?Si tu cherches dolly, elle est sur le forum abc de la securité.SmitfraudFix Version 1.92%system%\cvxh8jkdq?.exe%system%\sdfdil.exe%system%\winldra.exe%windows%\blank.mhtO4 - HKLM\...\Run: [load32] Je regarde les fichiers que tu m'as soumis.A chaque fois que je me suis pris spysheriff lors de mes tests, c'est toujours avec des pages mal forgées a base d'exploits Java, .chm, .ani...Au résultat, explorer plante et de nouvelles icones font leur apparitions...Les dernieres infections que j'ai eu jouent un son de sirène toutes les 10-15mn.a+

jean38 · Answer

salut S!ri,di smoi etant donné les evolutions multiples du fixe, serait il possible d'avoir la liste des exe identifiés.J'avais commencé une liste mais vite dépassée.Si trop long ou compliquer, Pas de bleme, on oublie.AmitiésJean

balltrap34 · Answer

salut jeansi tu veut la liste des exe du fix c est facile tu le telecharge et clik droit dessus et sur modifier et la le bloc note s ouvre avec tous le prog dont la liste des exe et autres

jean38 · Answer

salut mr balltrap,encore un service et des aides trop fort, aujourd'hui j'étais sur la A7 et je n'ai fait que regarder les camions en me disant "si je vois une plaque avec balltrap34" ma parole je lui arrete le camion sur la bande d'arrêt d'urgence mais non , je ne  'ai pas vu ... et pour cause.A+Moe me manque tout de même......

jean38 · Answer

chapeau les amis, je ne pensais pas qu'il y avait tout cela.. bravo.

balltrap34 · Answer

et oui moe manque lolje suis passer par la 75 sur l a7 tu ne pouvais pas me voiret mon bahut est un iveco blanc marquer cabiron en rougeet j ai une plaque sur le pare brise marquer gerard

DrUpY · Answer

salutC'est qui moe ?ce s'rait pas le p'tit gars qui met des manips à rallonges avec des progs bizarres, et qui parle souvent avec un grand gars moitié routier, moitié motocycliste, puis un autre qui se ballade à dos de chameau au milieu des mirages du desert, me semble aussi avec un autre qui drague toutes les nana qui passent sur le forum ?;-)mes amitiés, et à très très bientot...

Utilisateur anonyme · Answer

;-) Grillé

balltrap34 · Answer

celle la elle est bien bonne lol

Utilisateur anonyme · Answer

Wech les zouzes !Tsssss... n'importe quoi, j'ai un copyright qui se balade en liberté ;-)Flegmatique, Chouchou et Télégraphique, des bisous.Bonne nuit à tout le monde...

balltrap34 · Answer

mais lily t est inimitablebisous lol

Utilisateur anonyme · Answer

Meuh j'ai jamais eu de doutes là-dessus lol ;-)Toi aussi tu te fais trop rare Balltrap... j'espère que tu vas bien.Bisous !

balltrap34 · Answer

comme tu as put voir il y a quelque minute oui cela vas

jean38 · Answer

c'est quoi cette histoire de chameau qui drague à moto toutes les filles dans le désert???J'ai rien compris.Bises à toi Lili.......jean

jean38 · Answer

re bernard,es ce que tu connais cet utilitaire scanbat2, j'ai vu çà làhttp://www.geekstogo.com/forum/lofiversion/index.php/t44324.htmlsemble bien mais le lien de fonctionne plus.Tu connais qqchose similaire ou celui là en particulier?Y a des matins besogneux comme çà ??Jean

Utilisateur anonyme · Answer

salut jeanca va ?, content de te revoir.scanbat2, liste les clés de demarrages.apparement le bat a été retiré par l'auteur.Silentrunners trouve parfois quelques entrées, qu'on ne voient pas avec hijackthis.a+

jean38 · Answer

salut Moe,toujours une joie immense de te lire, tu manques à tout le monde... et encore un conseil, comment devient on aussi populaire ??? lol je sais il n'y  a qu'à te connaitre.Merci de ta reponse (pour le bat).A toujours +++Jean

Utilisateur anonyme · Answer

salut jeanlol, j'ai vraiment été tres touché par tous vos messages.Du coup j'ai décidé de revenir de temps en temps sur le forum, peut etre pas au meme rythme qu'avant.lol, je peux pas m'empécher de revenir chasser le virus avec vous.Je suis accro, lola++

jean38 · Answer

et bien heureux que ce virus là on n'ai pas encore trouvé le fix car c'est un bonheur de l'attraper à vos cotés, j'en connais un qui va bondir de joie car il etait devenu taciturne un poil irracible, c'est pour dire même les minettes avaient du mal à le faire se deplacer. alors tu vois l'empleur du dégat...lolles pauses sont toujours des moments de régeneréscence 'en info V2XA++++++jean

balltrap34 · Answer

salut S!Riregarde ceci Infected registry entries detected HKEY_LOCAL_MACHINE\Software\PSGuard.com HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard\P.S.Guard InstallationID {E8B8E960-F797-491C-85E9-75B8AACB2EB8} HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard VersionInfo APP_VER=3.3.0.6 DATABASE_VER=3.3.0.5 DATE=27/09/05 SIGNATURES=52195 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard RegistrationUrl http://www.psguard.com/register/9.0.2 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard C:\Program Files\P.S.Guard HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard DatabaseFile C:\Program Files\P.S.Guard\database.pkg HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard ResourceDll C:\Program Files\P.S.Guard\Localization.dll HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard SCAN_DEPTH 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard SCAN_PRIORITY 0 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard QuarantineLocation C:\Program Files\P.S.Guard\Quarantine HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard MinOnStartup 0 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard ScanOnStartup 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard StartAtWinStartup 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard EnableRTMonitoring 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard AlwaysBlockChanges 0 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard AlwaysBlockWhenNoAV 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard PerformUpdate 1 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard UpdateInterval 3 HKEY_LOCAL_MACHINE\Software\PSGuard.com\PSGuard MGuid {5EE21F43-56E7-4F68-A1F3-65EC310A71A2}

S!Ri · Answer

Salut balltrapMerci pour ta suggestion. HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com est une clé ajoutée lors de l'infection psguard et possède une sous-clé avec une valeur mal forgée qui empèche une suppression classique.(le même problème que HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD )Smitfraudfix la supprime depuis la version 1.90. j'en discutais avec moe au post 311 ci-dessus. J'ai oublié de poster le change log de cette version :)a++

balltrap34 · Answer

salutj ai pas pris le temp de regarder desoler je l ai poster comme celatrouver sur un logj ai eu des soucis de pc a++

S!Ri · Answer

Salut Balltrap,Pas de problèmes. Tu confirmes donc la présence de cette clé. Mieux vaut 2x que rien du tout.Pas trop grave tes soucis avec ton PC (pertes de données) ? a+

aranjuez31 · Answer

BjrJ'ai suivi votre long échange, sans toutefois tout comprendre car béotienChez moi SmitfraudFix scanné par SpyCatcher & Ewido sont reconnus comme porteurs de malwareEst-ce grave Docteurs ?

S!Ri · Answer

Salut,Il y a un logiciel qui accompagne le pack SmitfraudFix: Process.exeprocess.exe est un faux positif.http://www.beyondlogic.org/solutions/processutil/processutil.htm C'est un outil qui sert à mettre fin à des applications. Dans ce cas, il sert à terminer les processus infectés exécutés avant leur suppression.Utilisé par une personne malveillante, il pourrait arrêter une protection (antivirus ou firewall..). C'est pourquoi certains antivirus le classent comme logiciel à risque. Ce n'est en aucun cas un virus.a+

S!Ri · Answer

Salut,SmitfraudFix Version 1.93%windir%\adsldpbd.dll%system%\multitran.exe%system%\performent217.dll%system%\qvxgamet?.exe%system%
uclabdll.dll%system%\st3.dll%system%\svwhost.exe%system%\zolker011.dllC:\Documents and Settings\All Users\Bureau\Blowjob.urlC:\Documents and Settings\All Users\Bureau\Cigarettes Discount.urlC:\Documents and Settings\All Users\Bureau\Forex Trading.urlC:\Documents and Settings\All Users\Bureau\Free Ringtones.urlC:\Documents and Settings\All Users\Bureau\Gift Ideas.urlC:\Documents and Settings\All Users\Bureau\Group Sex.urlC:\Documents and Settings\All Users\Bureau\Home Loan.urlC:\Documents and Settings\All Users\Bureau\Mp3 Download.urlC:\Documents and Settings\All Users\Bureau\Online Casino.urlC:\Documents and Settings\All Users\Bureau\Online Dating.urlC:\Documents and Settings\All Users\Bureau\Play Poker.urlC:\Documents and Settings\All Users\Bureau\PopUp Blocker.urlC:\Documents and Settings\All Users\Bureau\Porn Dvd.urlC:\Documents and Settings\All Users\Bureau\Real Estate.urlC:\Documents and Settings\All Users\Bureau\Sport Betting.urlC:\Documents and Settings\All Users\Bureau\Spyware Remover.urlC:\Documents and Settings\All Users\Bureau\Texas Holdem.urlF2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exeO2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dllO2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dllO2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dllO2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dllO2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dllO3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dllO4 - HKLM\..\Run: [multitran]O4 - HKLM\..\RunServices: [multitran]O4 - HKLM\..\Run: [WindowsUpdateNT]O4 - HKCU\..\Run: [multitran]O4 - HKCU\..\Run: [WindowsUpdateNT]O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dllO20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32
uclabdll.dllO20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll J'ai intégré les fichiers suivant au fix bien que j'ai eu du mal à les supprimer lors de mes tests. Ces dll sont chargées très tôt en mémoire (idem en mode sans echec). Pour désinfecter correctement le système, j'ai du m'y prendre plusieurs fois de suite avec killbox (avec l'option delete on reboot).C:\WINDOWS\adsldpbd.dllC:\WINDOWS\SYSTEM32
uclabdll.dllC:\WINDOWS\system32\st3.dll a+

balltrap34 · Answer

sur ton serveur tu ne la pas mis a jour cela en est a la 1.92pour les dll pense tu que se genre de commande pourrait la desenregistrer pour faciliter la suppression dans le fixregsvr32.exe -u C:\WINDOWS\adsldpbd.dll

S!Ri · Answer

Salut Balltrap,Je viens de vérifier, c'est bien la version 1.93 sur le serveur. (???)Cela ne sert à rien de decharger ces dll avec regsvr32.exe -u car elles ne sont pas chargées de cette facon. (J'ai quand même fait le test histoire de vérifier ;-) ).Mercia++

balltrap34 · Answer

oui lol j ai tester sur un log infecter et que le fix n arrive pas a virer et cela ne marche pas lol il fallait le tenter lol

balltrap34 · Answer

lol mon lien doit etre mauvais http://siri.urz.free.fr/Fix/SmitfraudFix.zipquand je regarde le fix(via modifier)c est la version 1.92 qui est marquer

S!Ri · Answer

Un problème de cache peut être. (??)Salut Nilou17. Merci de ton soutiena+

balltrap34 · Answer

bizzard j ai vider mon cache et c est pareil

balltrap34 · Answer

salut S!Ri et les autresje t ai mis la meme chose sur la section espace securite de zebulonregarde ceci a rajouter a smitfraud cela correspond au probleme du fichier svchosts.dllque le fix ne peut pas virerhttp://securityresponse.symantec.com/avcenter/venc/data/adware.topav.html

Noss · Answer

Salut Balltrap !Bien je vois que ça t'a servi ! Bonne continuation !

balltrap34 · Answer

oui merci noosle probleme c est que mon ami S!Ri est tres occupper et il n est pas passer voir ces postsa++

S!Ri · Answer

Salut Balltrap !Ce week-end était un peu chargé. ;-)Merci pour le lien, j'ai ajouté les fichiers cités et les clés dans la nouvelle version du fix.Version 1.94%HOMEDRIVE%\secure32.html%system%\svchosts.exe%system%\shdocsvc.dll%system%\shdocsvc.exe%system%\ztoolb011.dllO4 - HKLM\..\Run: [FHStart]a++

balltrap34 · Answer

salutS!Rioki c est impecsi tu as besoin moe a mon email tu peut lui demander sans probleme

Noss · Answer

Bonjour, bravo et merci pour votre travail collectif. Je vais essayer de vous aider également en vous faisant part de mes expériences lors de l'utilisation de smitfraudfix.Nouvel échec de suppression de svchosts.dll avec la version 1.94 :http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/your_computer_is_infectedtenace-394282/messages-1.htmlJ'attends le rapport de CounterSpy qui arrive à le supprimer. Je vais parallèlement essayer de voir s'ils ont un forum pour leur demander.De plus, certains fichiers détéctés par la version 1.93 ne semblent pas avoir été détéctés par la version 1.94. Je ne sais pas si c'est normal (voir le lien).A+ !

Noss · Answer

Un autre lien sur svchosts ici : http://www.2-spyware.com/remove-topav.htmlMais apparemment, pas plus d'infos que sur le précédent.

S!Ri · Answer

Salut NossMerci pour ta contribution.Il semblerait que la personne infectée au lien que tu donnes ait utilisé le nettoyage une première fois sans poster le rapport.Dans la nouvelle version du fix (v1.95) le fichier svchosts.dll est supprimé différement. (A tester).Demande toujours un rapport HijackThis lors de l'utilisation de SmitfraudFix car l'infection est souvent accompagnée d'autres malware qui ne sont pas intégrés au script.a+

balltrap34 · Answer

salut S!Risur le fix a cette endroitif exist svchosts.dll (attrib -r -s -h svchosts.dllren svchosts.dll svchosts.old   la tu renommedel /a /f svchosts.old                la tu supprif NOT exist svchosts.old echo %syspath%\svchosts.dll supprimé>>rapport2.txt si le fait de renommer na pas marcher il faudrait peut etre rajouter une verificationif exist svchosts.old echo Problème suppression %syspath%\svchosts.dll>>rapport2.txtif exist svchosts.dll echo probleme de suppression %syspath%\svchosts.dll>>rapport2.txt)

Utilisateur anonyme · Answer

salut balltrapj'ai pas testé voir si ca marche, peut etre quelque chose dans ce genre:if exist svchosts.dll ( attrib -r -s -h svchosts.dll ren svchosts.dll svchosts.oldif exist svchosts.old (echo %syspath%\svchosts.dll renommée>>rapport2.txtdel /a /f svchosts.old ) else (echo Impossible de renommer %syspath%\svchosts.dll>>rapport2.txt)if NOT exist svchosts.old (echo %syspath%\svchosts.dll supprimé>>rapport2.txt) else (echo Problème suppression %syspath%\svchosts.dll>>rapport2.txt) faut voir avec s!ri..

balltrap34 · Answer

oki ont verrat il decidera

S!Ri · Answer

SalutBonne idée, je vais modifier le script dès que j'aurais un peu de temps libre aujourd'hui.a+ps: cette méthode qui consiste à renommer avant d'effacer ne fonctionne pas avec tous les fichiers. Surtout ceux précisés au post <357>  à savoir :C:\WINDOWS\adsldpbd.dllC:\WINDOWS\SYSTEM32
uclabdll.dllC:\WINDOWS\system32\st3.dll Il y en a certainement d'autre, pour ceux là, il faut utiliser Killbox puis effacer les entrées du registre avec HijackThis.

Utilisateur anonyme · Answer

salut S!riPour 2 des 3 fichiers dont tu parles, il y a ce prog aussi:http://users.telenet.be/marcvn/tools/win32delfkil.exe Si tu as le temps, jete un oeil dessus.a+

Noss · Answer

Bonjour Moe,Et en plus, il est très efficace, je m'en suis servi il y a quelques jours : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/resolu_your_computer_is_infected-394222/messages-1.htmlCependant, il semble qu'il y ait toujours des problèmes pour supprimer svchosts.dll : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/virus/drole_de_message-394050/messages-1.html

S!Ri · Answer

Salut moe,Je vois qu'il opère de la même façon.J'ai aussi du mettre une clef dans le runonce pour supprimer certains fichiers qui résistent. Je vais donc continuer dans cette voie.Thanxxa+

Utilisateur anonyme · Answer

salut s!riJe sais pas s'il s'agit de la même variante, mais sur ce lien on peut voir le détail d'une infection, et svchosts.dll est présent.http://www.webhelper4u.com/CWS/gfoogle_xcnn43005.htmlApparement, tres interressant.Dans pratiquement tout les rapports de scan av detectant svchosts.dll on retrouve aussi ce type de fichier:C:\WINDOWS\system32\1024\ldF284.tmp (les 2 premières lettre ld restent toujours les mêmes, le dossier 1024 aussi).Il existe aussi un uninstall, apparement vérolé d'après avg (le seul à le detecter).a+

S!Ri · Answer

SalutVoila une nouvelle mise a jour du fix.Pendant le nettoyage, le fix va mettre fin à explorer. exe pour nettoyer certains fichiers. (Je voulais jusque la éviter de le terminer a cause de certains désagréments notamment les icones de la task bar).De même, un reboot sera necessaire pour terminer le nettoyage (la aussi, il était seulement necessaire de redemarrer lorsque wininet.dll était infecté).Le fichier rapport.txt se trouve maintenant à la racine du disque système (en général c:)Il est toujours recommandé de faire le nettoyage en mode sans échec.Version 1.96%bureau%\m00.exe%windir%\adsldpbc.dll%windir%\q*_disk.dll%windir%\slassac.dll%windir%\svchost.exe%system%\cnymxw32.dll%system%\prflbmsgp32.dll%system%\sysbho.exe%system%\sysmain.dll%system%\winstyle2.dll%system%\winstyle3.dll%system%\winstyle32.dllO4 - HKLM\..\Run: [System Redirect]O4 - HKCU\..\Run: [System]HKEY_CLASSES_ROOT\CLSID\{0976BE78-EA53-4DD6-91E6-E6175940032B}HKEY_CLASSES_ROOT\CLSID\{16875E09-927B-4494-82BD-158A1CD46BA0}HKEY_CLASSES_ROOT\CLSID\{405132A4-5DD1-4BA8-A181-95C8D435093A}HKEY_CLASSES_ROOT\CLSID\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}HKEY_CLASSES_ROOT\CLSID\{826B2228-BC09-49F2-B5F8-42CE26B1B712}HKEY_CLASSES_ROOT\CLSID\{8D82BB89-B58C-4F21-9C5D-377F65947806}HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}HKEY_CLASSES_ROOT\CLSID\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}HKEY_CLASSES_ROOT\CLSID\{C7CF1142-0785-4B12-A280-B64681E4D45E}HKEY_CLASSES_ROOT\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}HKEY_CURRENT_USER\Software\Microsoft\style2HKEY_CURRENT_USER\Software\Microsoft\style3HKEY_CURRENT_USER\Software\Microsoft\style32HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0976BE78-EA53-4DD6-91E6-E6175940032B}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16875E09-927B-4494-82BD-158A1CD46BA0}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{405132A4-5DD1-4BA8-A181-95C8D435093A}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826B2228-BC09-49F2-B5F8-42CE26B1B712}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D82BB89-B58C-4F21-9C5D-377F65947806}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B212D577-05B7-4963-911E-4A8588160DFA}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7CF1142-0785-4B12-A280-B64681E4D45E}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{16875E09-927B-4494-82BD-158A1CD46BA0}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{B212D577-05B7-4963-911E-4A8588160DFA}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{C7CF1142-0785-4B12-A280-B64681E4D45E}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ggggHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gggggHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style32HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\st3i

balltrap34 · Answer

salut a tous je vois que vous avez bosser cette semaine lolbon week end

boulepate · Answer

Salut à tous ,bravo pour le pti programme :) une infection ne part pas hijack, anti-spyware, rien n'a faire O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\geebx.dll O20 - Winlogon Notify: geebx - C:\WINDOWS\System32\geebx.dll http://www.commentcamarche.net/forum/affich-1919629-Geebx-devra-%EAtre-d%E9truiteVariante de quelque chose?comment faire?  voilà si ça vous interresse ;)

Noss · Answer

Bonjour Boulepate,Ceci est la caractéristique d'une infection de Vundo, lié à Winfixer. Tu as un tuto ici :http://www.bleepingcomputer.com/forums/index.php?showtopic=18610&pid=110599&st=0&#entry110599

Noss · Answer

Ca doit ressembler à ça au final :http://www.commentcamarche.net/forum/affich-1922356-logiciel-parasite-Please-help

Utilisateur anonyme · Answer

Salut boulepateTrojan vundo = trojan agent cs 1J ai mis la manip sur le poste que tu t occupes mais elle a du mal faire ce que je lui demandais....Pour info:http://www.commentcamarche.net/forum/affich-1519637-TROJAN-AGENT-CS1-Besoin-d-aide#2005-05-13%2022%3A59%3A29a+

S!Ri · Answer

Nouvelle version du Fix:Version 1.97%ProgramFiles%\Fichiers communs\Download\mc-58-12-0000113.exe%ProgramFiles%\Common Files\Download\mc-58-12-0000113.exe%ProgramFiles%\Fichiers communs\InetGet\mc-58-12-0000113.exe%ProgramFiles%\Common Files\InetGet\mc-58-12-0000113.exe%ProgramFiles%\Fichiers communs\Windows\mc-58-12-0000113.exe%ProgramFiles%\Common Files\Windows\mc-58-12-0000113.exe%ProgramFiles%\Fichiers communs\Windows\services32.exe%ProgramFiles%\Common Files\Windows\services32.exe%allusersprofile%\Menu Démarrer\Programmes\P.S.Guard spyware remover%system%\msupdate32.dll%system%\MTC.dll%system%\MTC.iniO2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443}O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443}O4 - HKCU\..\Run: [services32]O20 - Winlogon Notify: msupdatea++

balltrap34 · Answer

merci

S!Ri · Answer

SalutVersion 1.98%ProgramFiles%\SpyAxe\%HOMEDRIVE%\ecsiin.stub.exe%HOMEDRIVE%\stub_113_4_0_4_0.exe%windir%\adtech2005.exe%windir%\secure32.html%windir%	imessquare.exe%windir%	oolbar.exe%system%\sywsvcs.exe%ProgramFiles%\Fichiers communs\muwq\O4 - HKLM\..\Run: [ecsiin]O4 - HKLM\..\Run: [timessquare]O4 - HKLM\..\Run: [adtech2005]O4 - HKCU\..\Run: [muwq]O4 - HKCU\..\Run: [qwum]O16 - DPF: {10003000-1000-0000-1000-000000000000}a+

balltrap34 · Answer

salutdans la base de registre tu as mis les redirection sur page de demarrrage secure32merci a++

S!Ri · Answer

Salut,affirmatif, j'ai ajouté dans le script certaines clés qui n'étaient pas prises en comptes dans les anciennes versions du fix.Il serait possible de demander un rapport de Regsrch sur cette valeur: 7caf96a2-c556-460a-988e-76fc7895d284 et HomepageBHOLorsque cette ligne apparait dans un rapport Hijackthis:O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp ???? etant des chiffres/lettres aléatoires.C'est généralement lié à des infections par SpyAxe...Merci

balltrap34 · Answer

okides que je vois cela je fait le necessaire et je te trtansmeta++

S!Ri · Answer

SalutVoila une grosse mise a jour suite à une infection par ce qui semble une nouvelle variante: WinHoundVersion 1.99%HOMEDRIVE%\contextplus.exe%HOMEDRIVE%\drsmartload1.exe%windir%
otepad.com%windir%\psg.exe%windir%zs.exe%windir%\sec.exe%system%\msbe.dll%system%
otepad.com%syspath%
vms.dll%syspath%\shdochp.dll%system%\shdochp.exe%syspath%\shsexl32.dll%syspath%\x.exe%ProgramFiles%\WinHound\C:\Documents and Settings\****\Desktop\accessC:\Documents and Settings\****\Desktop\domainsC:\Documents and Settings\****\Desktop\map.txtC:\Documents and Settings\All Users\Desktop\WinHound spyware remover%allusersprofile%\Menu Démarrer\Programmes\WinHound spyware removerO4 - HKLM\..\Run: [FHPage]O4 - HKLM\..\Run: [WinHound]HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.comHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinHound spyware removerHKEY_CLASSES_ROOT\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}HKEY_CLASSES_ROOT\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}HKEY_CLASSES_ROOT\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}HKEY_CLASSES_ROOT\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}HKEY_CLASSES_ROOT\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}HKEY_CLASSES_ROOT\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}HKEY_CLASSES_ROOT\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}HKEY_CLASSES_ROOT\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}HKEY_CLASSES_ROOT\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}HKEY_CLASSES_ROOT\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}HKEY_CLASSES_ROOT\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}HKEY_CLASSES_ROOT\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}HKEY_CLASSES_ROOT\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}HKEY_CLASSES_ROOT\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}HKEY_CLASSES_ROOT\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}HKEY_CLASSES_ROOT\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}HKEY_CLASSES_ROOT\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}HKEY_CLASSES_ROOT\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}HKEY_CLASSES_ROOT\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}HKEY_CLASSES_ROOT\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}HKEY_CLASSES_ROOT\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}HKEY_CLASSES_ROOT\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}HKEY_CLASSES_ROOT\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}HKEY_CLASSES_ROOT\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}HKEY_CLASSES_ROOT\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32
vms.dllHKEY_CLASSES_ROOT\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}HKEY_CLASSES_ROOT\NLS.UrlCatcherHKEY_CLASSES_ROOT\NLS.UrlCatcher.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcherHKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher.1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dllHKEY_CLASSES_ROOT\ADP.UrlCatcherHKEY_CLASSES_ROOT\ADP.UrlCatcher.1HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcherHKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmpHKEY_CLASSES_ROOT\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7caf96a2-c556-460a-988e-76fc7895d284}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7caf96a2-c556-460a-988e-76fc7895d284}Je viens de voir le lien CJoint de moe concernant SpyAxe... merci, j'ajouterai cela pour la version 2.0a++

balltrap34 · Answer

salutje vois que la machine virtuel te permet de faire un malheur c est superpar contre en se moment traine une infection look2Me nouvelleet apparament seul spyswepper l eradique cela me parait bizzard

S!Ri · Answer

Salut,Une vrais cochonerie ce L2M, Je m'en prend de plus en plus lorsque je teste les pages liées à spysheriff et Psguard...Voila la nouvelle version. Merci à Moe et Balltrap pour les infos !a+Version 2.00%system%\ot.ico%system%	s.ico %system%\migicons.exe %system%\1024\%ProgramFiles%\SpyAxe\O4 - HKLM\..\Run: [SpyAxe]HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}HKEY_CLASSES_ROOT\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXEHKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53525A6C-3774-4b47-B317-BC7DFE4FC7ED}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.BackupHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListenerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecordHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.PathsHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.QuarantineHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAsHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ScannerHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItemHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollectionHKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection.1HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxeHKEY_LOCAL_MACHINE\SOFTWARE\SpyAxeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}

Utilisateur anonyme · Answer

Salut S!riMerci pour l info !!L2M une vraie merde !!!a+

S!Ri · Answer

Bonsoir S!Ri,Ton programme "Smitfraudfix" a l'air très intéressant.Je voudrais juste savoir comment on l'utilise à sa guise.Je crois qu'il y a une histoire d'options (option 1, puis option 2).De quoi s'agit-il exactement ?Merci par avance et @ +SmitfraudFix (WinXP, Win2K)http://siri.urz.free.fr/Fix/SmitfraudFix.zipCet utilitaire corrige les infections de type: DesktopHijack, Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound...Utilisation:Dezipper la totalité de l'archive smitfraudfix.zipDouble cliquer sur smitfraudfix.cmdSélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.Sélectionner 2 pour supprimer les fichiers respondables de l'infection. (de préférence en mode sans echec)Répondre O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui) à la question "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.Sélectionner 3 pour effacer la liste des site de confiance et sensibles.process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.a+

Utilisateur anonyme · Answer

salut S!riJe ne sais pas si tu as eu l'occasion de lire ce lien pour winhoundhttp://virus-protect.net/artikel/spyware/winhound.htmlje te le met au cas ou.a++

S!Ri · Answer

Salut moe,Merci pour le lien, je vais comparer avec mes notes et mettre à jour en cas de besoin.J'ai contacté noahdfear a propos de cette nouvelle infection en lui faisant part de mes logs. Je suppose qu'une mise a jour de SmitRem ne devrait pas tarder ;-)a+

Utilisateur anonyme · Answer

reoui, ca a l'air tout recent, le fix commence à prendre une sacrée ampleur maintenant, lolTu sais ce que pense noahdfear de smitfraudfix ?En tout cas je trouve ca bien que vous puissiez partager des infos.a+

S!Ri · Answer

Noahfear, je ne sais pas encore, Miekiemoes qui collabore avec lui m'avait dit que c'était du bon boulo. :DReste a voir jusqu'ou ca ira...Des developpeurs Allemands (Marc et Sabina) ont aussi fait un fix: Generic Smitfraud Remover : http://forum.hijackthis.de/showthread.php?t=6392 (on en a parlé sur le forum securité de zebulon). La aussi, il y a parfois partage d'informations grace a Ruby qui aide les utilisateurs germaniques sur HijackThis.de

balltrap34 · Answer

salut en tous cas c est une bonne idee cette section sur zebuloncela permet de comparer nos idee de se donner des avis des renseignementsmoe il attende que tu  tinscrive pour te donner l acces a cette section

balltrap34 · Answer

requelle prog tu utilise pour decortiquer les exe?

S!Ri · Answer

Salut BalltrapJ'utilise quelques utilitaires dont: OllyDbg, W32dasm, et des depackers.Et bien sur VMWare ...a+

balltrap34 · Answer

oki je t ai mis un petit mot au sujet des rooktit sur zebulonje vois pas comment le debusquer une fois cacher

S!Ri · Answer

SalutNouvelle version du fix, concernant cette infection bxproxy.exe (Backdoor.Win32.Agent.qs) qui se copie dans bnmsrv.exe et installe un service RpcxSs.dll (Remote Procedure Call (RPC) Extensions). Merci pour l'upload Balltrap ;-)HijackThis ne voit pas le service par contre Silent Runner le voit bien:Running Services (Display Name, Service Name, Path {Service DLL}):Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll" [MS]}Le problème est que la Dll est signée microsoft. Pourtant, c'est bien bxproxy.exe qui l'a crée:18:18:58	bxproxy.exe:700	CREATE	C:\WINDOWS\System32\RpcxSs.dll	SUCCESS	Options: OverwriteIf  Access: All	Version 2.02C:\WINDOWS\bxproxy.exeC:\WINDOWS\System32\bnmsrv.exeC:\WINDOWS\System32\RpcxSs.dllO4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exeO4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exeHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCXSSHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcxSsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCXSSHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcxSs

balltrap34 · Answer

lol si ont peu plus se fier a la signature mais ou vas tonyen a marre

S!Ri · Answer

lol c'est un monde ! ;-)J'attendais depuis un moment un rapport Regsearch concernant une entrée présente avec SpyAxe. A force d'insister, j'ai enfin obtenu le log tant attendu. Et zou, nouvelle version:SmitfraudFix v2.03O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp????.tmpHKEY_CLASSES_ROOT\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}

S!Ri · Answer

Bonjour,Nouvelle version du fix. Les détails sont ici:http://siri.urz.free.fr/Fix/SmitfraudFix.phpa+

Utilisateur anonyme · Answer

salut s!riBeau boulot !merci pour le liena+

S!Ri · Answer

Salut moe,merci.Tu ne postes plus aussi souvant, mais tu passes quand même de temps a autre ;-)A plaisir de te relire.a bientôt

balltrap34 · Answer

salut tous les deuxS!Ri tu bosse durimpec se lien

Utilisateur anonyme · Answer

oui,, mais ca ne m'empêche pas de suivre l'évolution du fix ;-)D'ailleurs j'ai remarqué quelques problemes de suppression sur certains logs pour le fichier C:\Documents and Settings\****\Application Data\Install.dat qui a tendance à revenir après les manips...a+

S!Ri · Answer

Merci, je vais me pencher sur ce problème.En ce moment j'ai un peu de temps libre... mais ca ne va pas durer.a+

balltrap34 · Answer

winstall.exe aussi

S!Ri · Answer

dans quel log le fichier winstall.exe revient ?tu as un lien sous la main ?

Utilisateur anonyme · Answer

re,Pour install.dat:http://www.commentcamarche.net/forum/affich-1957722-changement-de-fond-d-ecran-inaccessible#10mais balltrap a raison, il me semble en avoir vu un avec winstall.exe aussi, j'arrive pas à le retrouver...Ps:mes amitiés balltrap, dsl j'avais pas vu ton post :-)

S!Ri · Answer

mmh je me demande si le fichier n'était pas en cours d'utilisation...(peut être que le nettoyage n'a pas été fait en mode sans echec).Parcequ' ensuite le fix le supprime proprement.Je vais l'ajouter au pass2.cmd (lors du reboot automatique) s'il existe encore après le 1er nettoyage.mercia+--> correction:J'ai du rencontré le problème depuis ce post car au moment d'ajouter install.dat au pass2.cmd je me suis rendu compte qu'il y était déja. :-D<--

Utilisateur anonyme · Answer

oui, c'est possible qu'il n'est pas était passé en mode sans echecje te le ferais savoir si jamais ca se reproduit sur un autre post.a++

balltrap34 · Answer

oui il dit pourtant qu il la fait en sans echecmais ont vas suivre l affaire

Utilisateur anonyme · Answer

salut S!riEst ce que tu as ceux-là ?:C:\Program Files\SinEspias\intercept.dll -> Adware.Spyaxe : Nettoyer et sauvegarderC:\WINDOWS\intercept.dll -> Adware.Spyaxe : Nettoyer et sauvegarderC:\WINDOWS\system32\intercept.dll -> Adware.Spyaxe : Nettoyer et sauvegarder(rapport ewido)a+

S!Ri · Answer

Salut moe,J'avais appercu ces deux là plusieurs foisC:\WINDOWS\intercept.dllC:\WINDOWS\system32\intercept.dllJ'ai du les noter quelque part en attendant je ne sais plus quoi.. ;-)Celui ci me dérange un peu (et c'est certainement ce qui m'avait fait mettre de coté ceux du dessus) c'est celui là:C:\Program Files\SinEspias\intercept.dllQui semble venir avec Sin-Espias. Ce soft a été classé durant un temps comme Rogue. Mais il ne l'est plus.Dans le cas des infections Desktop Hijack, Sin-Espias est-il installé par un trojan ou par l'utilisateur ?Même question pour la dll qui se retrouve à 3 endroits différents sur le disque dur.Je vais faire une recherche là dessus.Merci beaucoup !a+

Nilou17 · Answer

Coucou !!! :-)Si jamais cela vous intéresse, j'ai trouvé un lien concernant une infection SpySheriff.http://www.commentcamarche.net/forum/affich-1648162-infecter-par-spysheriff#2Par contre, je ne sais pas quels sont les fichiers détectés par SmitfraudFix, et ceux qui ne le sont pas. 8-sJe vous souhaite un très joyeux Noël !!!********************************Tous mes meilleurs voeux pour 2006 !!!A++++++++

SmitfraudFix (DesktopHijack, AVGold...)

411 réponses

Votre réponse

Newsletters