411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
Salut moe,
les dernieres versions de Haxdoor rendent le fichier tcpg4t.dll invisible.
lors de l'infection, j'avais aussi un autre fichier lslY4.dll dans les O20 mais celui là est parti plus facilement... est-ce lié ???
J'ai utilisé Killbox (avec reboot) pour le supprimer.
HijackThis ne le supprime pas avec un simple fix: il faut cliquer sur:
HijackThis ->Config -> Misc Tools -> Delete an NT service et entrer le nom du service (msudp4).
Sinon la commande sc delete msudp4 sous windows XP.
a+
les dernieres versions de Haxdoor rendent le fichier tcpg4t.dll invisible.
lors de l'infection, j'avais aussi un autre fichier lslY4.dll dans les O20 mais celui là est parti plus facilement... est-ce lié ???
J'ai utilisé Killbox (avec reboot) pour le supprimer.
HijackThis ne le supprime pas avec un simple fix: il faut cliquer sur:
HijackThis ->Config -> Misc Tools -> Delete an NT service et entrer le nom du service (msudp4).
Sinon la commande sc delete msudp4 sous windows XP.
a+
en fait, je voulais savoir si tu avais testé de supprimer le service via Delete an NT service d'hijackthis.
je te demande ca, parce que je me suis appercu que pour beaucoup de fichier *.sys qui crées un service, la plupart sont très difficiles à désactiver via hijackthis, *.reg ou par la commande sc, la seule solution qui a marché, c'est de changer l'autorisation des clés concernées en controle total, pour pouvoir les supprimer.
Et ce, quelque soit le mode ou compte d'utilisateur utilisé et toujours apres suppression des fichiers infectés.
C'est volontaire ou bien est ce un bug ?
je te demande ca, parce que je me suis appercu que pour beaucoup de fichier *.sys qui crées un service, la plupart sont très difficiles à désactiver via hijackthis, *.reg ou par la commande sc, la seule solution qui a marché, c'est de changer l'autorisation des clés concernées en controle total, pour pouvoir les supprimer.
Et ce, quelque soit le mode ou compte d'utilisateur utilisé et toujours apres suppression des fichiers infectés.
C'est volontaire ou bien est ce un bug ?
Je n'ai pas encore rencontré ce problème, pour l'instant, a chaque fois que j'ai fait un sc ou un Delete an NT Service... ca a fonctionné. Peut être avais-je tout les droits.
En fait, je m'assure d'avoir viré les fichiers concernés si ca commence a coincer.
En fait, je m'assure d'avoir viré les fichiers concernés si ca commence a coincer.
salut sur se genre de truc j est souvent virer le service avec se reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=-
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rdriv.sys"=-
"WinAwk.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Configuration Loader]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=-
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rdriv.sys"=-
"WinAwk.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Configuration Loader]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Configuration Loader]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Balltrap
C'est une facon de virer un service quand ca coince. par contre, les lignes là sont inutiles:
-----
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=-
-----
car plus tard tu effaces la clé:
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
C'est une facon de virer un service quand ca coince. par contre, les lignes là sont inutiles:
-----
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
"start"=-
-----
car plus tard tu effaces la clé:
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Configuration Loader]
j est bloquer sur certain services sans ces lignes
je pense que le fait de l arreter
est une securite de plus
je pense que le fait de l arreter
est une securite de plus
salut
le service Windows Configuration Loader, n'existait pas sur le log en question, mais il s'agissait du service spdcheck.
Service qui n'apparaisait pas dans le gestionnaire des services.
Apres suppression du fichier, j'ai fais supprimer le service spdcheck et rdriv (en mode sans echec) par delete an nt service d'hijackthis, résultat message d'erreur.
De retour en mode normal, les fichiers n'étaient plus présents mais les services étaient encore là.
Confirmé par regsearch.
je fais faire ces 2 commandes:
sc stop spdcheck
message: le service n'a pas été démarré
sc delete spdcheck
message: [SC] delete service succes
nouvelle recherche avec regsearch, qui detecte encore 2 clés (la plupart ayant quand meme été supprimées):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck
apres un essai de suppression via un reg, il a fallu modifier les autorisations pour pouvoir les supprimer.
Meme manip pour rdriv, et meme resultat pour pouvoir le supprimer.
a+
le service Windows Configuration Loader, n'existait pas sur le log en question, mais il s'agissait du service spdcheck.
Service qui n'apparaisait pas dans le gestionnaire des services.
Apres suppression du fichier, j'ai fais supprimer le service spdcheck et rdriv (en mode sans echec) par delete an nt service d'hijackthis, résultat message d'erreur.
De retour en mode normal, les fichiers n'étaient plus présents mais les services étaient encore là.
Confirmé par regsearch.
je fais faire ces 2 commandes:
sc stop spdcheck
message: le service n'a pas été démarré
sc delete spdcheck
message: [SC] delete service succes
nouvelle recherche avec regsearch, qui detecte encore 2 clés (la plupart ayant quand meme été supprimées):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SPDCHECK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spdcheck
apres un essai de suppression via un reg, il a fallu modifier les autorisations pour pouvoir les supprimer.
Meme manip pour rdriv, et meme resultat pour pouvoir le supprimer.
a+
salut balltrap
oui, mais le prob c'est que meme apres le reg les entrées y sont toujours et impossible de supprimer à la main sans changer les autorisations ??
a+
oui, mais le prob c'est que meme apres le reg les entrées y sont toujours et impossible de supprimer à la main sans changer les autorisations ??
a+
c est bizzard que le reg passe
cela veut dire qu il accepte la modif
hors si il ny a pas les autorisations il ne devrait pas passer?
et apres les autorisations il n est pas revenues?
cela veut dire qu il accepte la modif
hors si il ny a pas les autorisations il ne devrait pas passer?
et apres les autorisations il n est pas revenues?
non, apres modif des autorisation pour chaques clés à virer et suppr manuelle, rdriv n'est pas reapparru dans le registre.
Apres avoir viré les services, j'ai fais faire un scan av, 1 fichier détecté :
c:\windows\system32\i
peut etre qui était chargé d'empecher les modifs des services ou de les recréer ?
Apres avoir viré les services, j'ai fais faire un scan av, 1 fichier détecté :
c:\windows\system32\i
peut etre qui était chargé d'empecher les modifs des services ou de les recréer ?
salut
bien vu moe, la solution est donc de se donner les droits avant suppression des clés !
J'avais un problème identique pour supprimer haxdoor (et là, ce n'était pas un service !). Les clés réapparaissaient après suppression manuelle/hijack ou *. reg.
Le processus doit certainement réécrire les clés toutes les x secondes.
Dans le cas de Haxdoor, ce qui complique la chose avec la nouvelle variante, c'est que le fichier tcpg4.dll est complètement invisible.
Il n'y a qu'après suppression avec killbox (au reboot) que j'ai pu le supprimer.
a+
bien vu moe, la solution est donc de se donner les droits avant suppression des clés !
J'avais un problème identique pour supprimer haxdoor (et là, ce n'était pas un service !). Les clés réapparaissaient après suppression manuelle/hijack ou *. reg.
Le processus doit certainement réécrire les clés toutes les x secondes.
Dans le cas de Haxdoor, ce qui complique la chose avec la nouvelle variante, c'est que le fichier tcpg4.dll est complètement invisible.
Il n'y a qu'après suppression avec killbox (au reboot) que j'ai pu le supprimer.
a+
salut
C'est peut etre le role de Msudp4.sys alors ?
Surveiller les clés concernant tcpg4.dll et masquer le processus ?
Ca n'a peut etre rien à voir, et je vais surement dire une bétise, mais j'ai lu que msudp4.sys s'installait comme un "system driver service" (exactement pareil que le rootkit rdriv.sys dans mon cas).
Est ce qu'il ni aurait pas moyen de le desinstaller via le gestionnaire des periphériques ?
Je dis ca car j'avais vu le cas pour msdirectx.sys et searchdom, msdirectx s'enregistrant comme Pilotes non plug-and-play, et on pouvait le supprimer de cette facon.
Ce n'était peut etre qu'un cas particulier...
a+
C'est peut etre le role de Msudp4.sys alors ?
Surveiller les clés concernant tcpg4.dll et masquer le processus ?
Ca n'a peut etre rien à voir, et je vais surement dire une bétise, mais j'ai lu que msudp4.sys s'installait comme un "system driver service" (exactement pareil que le rootkit rdriv.sys dans mon cas).
Est ce qu'il ni aurait pas moyen de le desinstaller via le gestionnaire des periphériques ?
Je dis ca car j'avais vu le cas pour msdirectx.sys et searchdom, msdirectx s'enregistrant comme Pilotes non plug-and-play, et on pouvait le supprimer de cette facon.
Ce n'était peut etre qu'un cas particulier...
a+
pour S!RI ou moe si tu c est
peut tu faire un vbs style regsearch ou dans la fenetre on tape le nom d un exe
et que l ont est comme resultat si il existe et tous les exe et fichier crer a la meme date
je sais le faire en fichier bat mais il faut a chaque fois changer le nom de l exe donc long et aussi a uploder a chaque fois
merci
peut tu faire un vbs style regsearch ou dans la fenetre on tape le nom d un exe
et que l ont est comme resultat si il existe et tous les exe et fichier crer a la meme date
je sais le faire en fichier bat mais il faut a chaque fois changer le nom de l exe donc long et aussi a uploder a chaque fois
merci
salut balltrap
pour le vbs il faudra voir avec s!ri dsl, mais je pense que ca doit etre possible en bat aussi.
il me semble avoir essayé dans faire un, je vais regarder si je l'ai pas effacé, sinon j'essayerais d'en refaire un.
c'est pour rechercher un fichier sur tout le DD ou dans des dossier s bien precis ?
a+
pour le vbs il faudra voir avec s!ri dsl, mais je pense que ca doit etre possible en bat aussi.
il me semble avoir essayé dans faire un, je vais regarder si je l'ai pas effacé, sinon j'essayerais d'en refaire un.
c'est pour rechercher un fichier sur tout le DD ou dans des dossier s bien precis ?
a+
en bat je l est fait
mais il serais bien que se soit comme regsearch le gars ont lui dit de tapez tel exe et ont a le rapport
en bat cela donne ceci
@ECHO OFF
:version
cls
if exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txt
echo.
echo.>>%Systemdrive%\rapport.txt
echo Rapport fait à %time% le %date%>>%Systemdrive%\rapport.txt
for /f "Tokens=*" %%i in ('cd') do set CurDir=%%i
echo Executé à partir de %CurDir%>>%Systemdrive%\rapport.txt
IF ERRORLEVEL 1 (
echo Executé à partir de >>%Systemdrive%\rapport.txt
cd >>%Systemdrive%\rapport.txt
)
for /f "Tokens=*" %%i in ('ver') do set Version=%%i
echo OS: %Version%>>%Systemdrive%\rapport.txt
echo.>>%Systemdrive%\rapport.txt
:search
echo.
echo.>>%Systemdrive%\rapport.txt
echo Recherche presence intell32.exe...
echo Recherche presence intell32.exe...>>%Systemdrive%\rapport.txt
if exist %Windir%\System32\intell32.exe (
echo intell32.exe Présent !>>%Systemdrive%\rapport.txt
goto rech
) else (
echo non trouvé...>>%Systemdrive%\rapport.txt
goto fin
)
:rech
echo.
echo.>>%Systemdrive%\rapport.txt
echo Recherche des processus crées à la meme date:>>%Systemdrive%\rapport.txt
dir %windir%\System32\intell32.exe /4 /A /N /-C>%systemdrive%\result.txt
type %systemdrive%\result.txt | find /i "intell32.exe">%systemdrive%\result2.txt
for /f "tokens=1" %%a in (%systemdrive%\result2.txt) do set filedate=%%a
echo %filedate%
dir %windir%\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt
for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\%%a>>%Systemdrive%\rapport.txt
dir %windir%\system32\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt
for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\System32\%%a>>%Systemdrive%\rapport.txt
if exist %systemdrive%\result.txt del %systemdrive%\result.txt
if exist %systemdrive%\result2.txt del %systemdrive%\result2.txt
goto fin
:fin
notepad %Systemdrive%\rapport.txt
if exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txt
exit
******************
mais cela oblige a changer le nom de l exe a chaque fois et a uploder le bat
mais il serais bien que se soit comme regsearch le gars ont lui dit de tapez tel exe et ont a le rapport
en bat cela donne ceci
@ECHO OFF
:version
cls
if exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txt
echo.
echo.>>%Systemdrive%\rapport.txt
echo Rapport fait à %time% le %date%>>%Systemdrive%\rapport.txt
for /f "Tokens=*" %%i in ('cd') do set CurDir=%%i
echo Executé à partir de %CurDir%>>%Systemdrive%\rapport.txt
IF ERRORLEVEL 1 (
echo Executé à partir de >>%Systemdrive%\rapport.txt
cd >>%Systemdrive%\rapport.txt
)
for /f "Tokens=*" %%i in ('ver') do set Version=%%i
echo OS: %Version%>>%Systemdrive%\rapport.txt
echo.>>%Systemdrive%\rapport.txt
:search
echo.
echo.>>%Systemdrive%\rapport.txt
echo Recherche presence intell32.exe...
echo Recherche presence intell32.exe...>>%Systemdrive%\rapport.txt
if exist %Windir%\System32\intell32.exe (
echo intell32.exe Présent !>>%Systemdrive%\rapport.txt
goto rech
) else (
echo non trouvé...>>%Systemdrive%\rapport.txt
goto fin
)
:rech
echo.
echo.>>%Systemdrive%\rapport.txt
echo Recherche des processus crées à la meme date:>>%Systemdrive%\rapport.txt
dir %windir%\System32\intell32.exe /4 /A /N /-C>%systemdrive%\result.txt
type %systemdrive%\result.txt | find /i "intell32.exe">%systemdrive%\result2.txt
for /f "tokens=1" %%a in (%systemdrive%\result2.txt) do set filedate=%%a
echo %filedate%
dir %windir%\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt
for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\%%a>>%Systemdrive%\rapport.txt
dir %windir%\system32\*.* /4 /A /N /-C | find /i "%filedate%">%systemdrive%\result.txt
for /f "tokens=4" %%a in (%systemdrive%\result.txt) do echo %windir%\System32\%%a>>%Systemdrive%\rapport.txt
if exist %systemdrive%\result.txt del %systemdrive%\result.txt
if exist %systemdrive%\result2.txt del %systemdrive%\result2.txt
goto fin
:fin
notepad %Systemdrive%\rapport.txt
if exist %Systemdrive%\rapport.txt del %Systemdrive%\rapport.txt
exit
******************
mais cela oblige a changer le nom de l exe a chaque fois et a uploder le bat
