411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
Salut balltrap
Merci pour ta suggestion. HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com est une clé ajoutée lors de l'infection psguard et possède une sous-clé avec une valeur mal forgée qui empèche une suppression classique.
(le même problème que HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD )
Smitfraudfix la supprime depuis la version 1.90. j'en discutais avec moe au post 311 ci-dessus. J'ai oublié de poster le change log de cette version :)
a++
Merci pour ta suggestion. HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com est une clé ajoutée lors de l'infection psguard et possède une sous-clé avec une valeur mal forgée qui empèche une suppression classique.
(le même problème que HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD )
Smitfraudfix la supprime depuis la version 1.90. j'en discutais avec moe au post 311 ci-dessus. J'ai oublié de poster le change log de cette version :)
a++
salut
j ai pas pris le temp de regarder desoler je l ai poster comme cela
trouver sur un log
j ai eu des soucis de pc
a++
j ai pas pris le temp de regarder desoler je l ai poster comme cela
trouver sur un log
j ai eu des soucis de pc
a++
Salut Balltrap,
Pas de problèmes. Tu confirmes donc la présence de cette clé. Mieux vaut 2x que rien du tout.
Pas trop grave tes soucis avec ton PC (pertes de données) ?
a+
Pas de problèmes. Tu confirmes donc la présence de cette clé. Mieux vaut 2x que rien du tout.
Pas trop grave tes soucis avec ton PC (pertes de données) ?
a+
Bjr
J'ai suivi votre long échange, sans toutefois tout comprendre car béotien
Chez moi SmitfraudFix scanné par SpyCatcher & Ewido sont reconnus comme porteurs de malware
Est-ce grave Docteurs ?
J'ai suivi votre long échange, sans toutefois tout comprendre car béotien
Chez moi SmitfraudFix scanné par SpyCatcher & Ewido sont reconnus comme porteurs de malware
Est-ce grave Docteurs ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
Il y a un logiciel qui accompagne le pack SmitfraudFix: Process.exe
process.exe est un faux positif.
http://www.beyondlogic.org/solutions/processutil/processutil.htm
C'est un outil qui sert à mettre fin à des applications. Dans ce cas, il sert à terminer les processus infectés exécutés avant leur suppression.
Utilisé par une personne malveillante, il pourrait arrêter une protection (antivirus ou firewall..). C'est pourquoi certains antivirus le classent comme logiciel à risque. Ce n'est en aucun cas un virus.
a+
Il y a un logiciel qui accompagne le pack SmitfraudFix: Process.exe
process.exe est un faux positif.
http://www.beyondlogic.org/solutions/processutil/processutil.htm
C'est un outil qui sert à mettre fin à des applications. Dans ce cas, il sert à terminer les processus infectés exécutés avant leur suppression.
Utilisé par une personne malveillante, il pourrait arrêter une protection (antivirus ou firewall..). C'est pourquoi certains antivirus le classent comme logiciel à risque. Ce n'est en aucun cas un virus.
a+
Salut,
SmitfraudFix Version 1.93
%windir%\adsldpbd.dll
%system%\multitran.exe
%system%\performent217.dll
%system%\qvxgamet?.exe
%system%\nuclabdll.dll
%system%\st3.dll
%system%\svwhost.exe
%system%\zolker011.dll
C:\Documents and Settings\All Users\Bureau\Blowjob.url
C:\Documents and Settings\All Users\Bureau\Cigarettes Discount.url
C:\Documents and Settings\All Users\Bureau\Forex Trading.url
C:\Documents and Settings\All Users\Bureau\Free Ringtones.url
C:\Documents and Settings\All Users\Bureau\Gift Ideas.url
C:\Documents and Settings\All Users\Bureau\Group Sex.url
C:\Documents and Settings\All Users\Bureau\Home Loan.url
C:\Documents and Settings\All Users\Bureau\Mp3 Download.url
C:\Documents and Settings\All Users\Bureau\Online Casino.url
C:\Documents and Settings\All Users\Bureau\Online Dating.url
C:\Documents and Settings\All Users\Bureau\Play Poker.url
C:\Documents and Settings\All Users\Bureau\PopUp Blocker.url
C:\Documents and Settings\All Users\Bureau\Porn Dvd.url
C:\Documents and Settings\All Users\Bureau\Real Estate.url
C:\Documents and Settings\All Users\Bureau\Sport Betting.url
C:\Documents and Settings\All Users\Bureau\Spyware Remover.url
C:\Documents and Settings\All Users\Bureau\Texas Holdem.url
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exe
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll
O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll
O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dll
O4 - HKLM\..\Run: [multitran]
O4 - HKLM\..\RunServices: [multitran]
O4 - HKLM\..\Run: [WindowsUpdateNT]
O4 - HKCU\..\Run: [multitran]
O4 - HKCU\..\Run: [WindowsUpdateNT]
O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
J'ai intégré les fichiers suivant au fix bien que j'ai eu du mal à les supprimer lors de mes tests. Ces dll sont chargées très tôt en mémoire (idem en mode sans echec). Pour désinfecter correctement le système, j'ai du m'y prendre plusieurs fois de suite avec killbox (avec l'option delete on reboot).
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
a+
SmitfraudFix Version 1.93
%windir%\adsldpbd.dll
%system%\multitran.exe
%system%\performent217.dll
%system%\qvxgamet?.exe
%system%\nuclabdll.dll
%system%\st3.dll
%system%\svwhost.exe
%system%\zolker011.dll
C:\Documents and Settings\All Users\Bureau\Blowjob.url
C:\Documents and Settings\All Users\Bureau\Cigarettes Discount.url
C:\Documents and Settings\All Users\Bureau\Forex Trading.url
C:\Documents and Settings\All Users\Bureau\Free Ringtones.url
C:\Documents and Settings\All Users\Bureau\Gift Ideas.url
C:\Documents and Settings\All Users\Bureau\Group Sex.url
C:\Documents and Settings\All Users\Bureau\Home Loan.url
C:\Documents and Settings\All Users\Bureau\Mp3 Download.url
C:\Documents and Settings\All Users\Bureau\Online Casino.url
C:\Documents and Settings\All Users\Bureau\Online Dating.url
C:\Documents and Settings\All Users\Bureau\Play Poker.url
C:\Documents and Settings\All Users\Bureau\PopUp Blocker.url
C:\Documents and Settings\All Users\Bureau\Porn Dvd.url
C:\Documents and Settings\All Users\Bureau\Real Estate.url
C:\Documents and Settings\All Users\Bureau\Sport Betting.url
C:\Documents and Settings\All Users\Bureau\Spyware Remover.url
C:\Documents and Settings\All Users\Bureau\Texas Holdem.url
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exe
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll
O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll
O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dll
O4 - HKLM\..\Run: [multitran]
O4 - HKLM\..\RunServices: [multitran]
O4 - HKLM\..\Run: [WindowsUpdateNT]
O4 - HKCU\..\Run: [multitran]
O4 - HKCU\..\Run: [WindowsUpdateNT]
O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
J'ai intégré les fichiers suivant au fix bien que j'ai eu du mal à les supprimer lors de mes tests. Ces dll sont chargées très tôt en mémoire (idem en mode sans echec). Pour désinfecter correctement le système, j'ai du m'y prendre plusieurs fois de suite avec killbox (avec l'option delete on reboot).
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
a+
sur ton serveur tu ne la pas mis a jour cela en est a la 1.92
pour les dll pense tu que se genre de commande pourrait la desenregistrer pour faciliter la suppression dans le fix
regsvr32.exe -u C:\WINDOWS\adsldpbd.dll
pour les dll pense tu que se genre de commande pourrait la desenregistrer pour faciliter la suppression dans le fix
regsvr32.exe -u C:\WINDOWS\adsldpbd.dll
Salut Balltrap,
Je viens de vérifier, c'est bien la version 1.93 sur le serveur. (???)
Cela ne sert à rien de decharger ces dll avec regsvr32.exe -u car elles ne sont pas chargées de cette facon. (J'ai quand même fait le test histoire de vérifier ;-) ).
Merci
a++
Je viens de vérifier, c'est bien la version 1.93 sur le serveur. (???)
Cela ne sert à rien de decharger ces dll avec regsvr32.exe -u car elles ne sont pas chargées de cette facon. (J'ai quand même fait le test histoire de vérifier ;-) ).
Merci
a++
oui lol j ai tester sur un log infecter et que le fix n arrive pas a virer et cela ne marche pas lol il fallait le tenter lol
lol mon lien doit etre mauvais
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
quand je regarde le fix(via modifier)c est la version 1.92 qui est marquer
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
quand je regarde le fix(via modifier)c est la version 1.92 qui est marquer
salut S!Ri et les autres
je t ai mis la meme chose sur la section espace securite de zebulon
regarde ceci a rajouter a smitfraud cela correspond au probleme du fichier svchosts.dll
que le fix ne peut pas virer
http://securityresponse.symantec.com/avcenter/venc/data/adware.topav.html
je t ai mis la meme chose sur la section espace securite de zebulon
regarde ceci a rajouter a smitfraud cela correspond au probleme du fichier svchosts.dll
que le fix ne peut pas virer
http://securityresponse.symantec.com/avcenter/venc/data/adware.topav.html
oui merci noos
le probleme c est que mon ami S!Ri est tres occupper et il n est pas passer voir ces posts
a++
le probleme c est que mon ami S!Ri est tres occupper et il n est pas passer voir ces posts
a++
Salut Balltrap !
Ce week-end était un peu chargé. ;-)
Merci pour le lien, j'ai ajouté les fichiers cités et les clés dans la nouvelle version du fix.
Version 1.94
%HOMEDRIVE%\secure32.html
%system%\svchosts.exe
%system%\shdocsvc.dll
%system%\shdocsvc.exe
%system%\ztoolb011.dll
O4 - HKLM\..\Run: [FHStart]
a++
Ce week-end était un peu chargé. ;-)
Merci pour le lien, j'ai ajouté les fichiers cités et les clés dans la nouvelle version du fix.
Version 1.94
%HOMEDRIVE%\secure32.html
%system%\svchosts.exe
%system%\shdocsvc.dll
%system%\shdocsvc.exe
%system%\ztoolb011.dll
O4 - HKLM\..\Run: [FHStart]
a++
Bonjour, bravo et merci pour votre travail collectif. Je vais essayer de vous aider également en vous faisant part de mes expériences lors de l'utilisation de smitfraudfix.
Nouvel échec de suppression de svchosts.dll avec la version 1.94 :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/your_computer_is_infectedtenace-394282/messages-1.html
J'attends le rapport de CounterSpy qui arrive à le supprimer. Je vais parallèlement essayer de voir s'ils ont un forum pour leur demander.
De plus, certains fichiers détéctés par la version 1.93 ne semblent pas avoir été détéctés par la version 1.94. Je ne sais pas si c'est normal (voir le lien).
A+ !
Nouvel échec de suppression de svchosts.dll avec la version 1.94 :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/your_computer_is_infectedtenace-394282/messages-1.html
J'attends le rapport de CounterSpy qui arrive à le supprimer. Je vais parallèlement essayer de voir s'ils ont un forum pour leur demander.
De plus, certains fichiers détéctés par la version 1.93 ne semblent pas avoir été détéctés par la version 1.94. Je ne sais pas si c'est normal (voir le lien).
A+ !
Un autre lien sur svchosts ici : http://www.2-spyware.com/remove-topav.html
Mais apparemment, pas plus d'infos que sur le précédent.
Mais apparemment, pas plus d'infos que sur le précédent.
Salut Noss
Merci pour ta contribution.
Il semblerait que la personne infectée au lien que tu donnes ait utilisé le nettoyage une première fois sans poster le rapport.
Dans la nouvelle version du fix (v1.95) le fichier svchosts.dll est supprimé différement. (A tester).
Demande toujours un rapport HijackThis lors de l'utilisation de SmitfraudFix car l'infection est souvent accompagnée d'autres malware qui ne sont pas intégrés au script.
a+
Merci pour ta contribution.
Il semblerait que la personne infectée au lien que tu donnes ait utilisé le nettoyage une première fois sans poster le rapport.
Dans la nouvelle version du fix (v1.95) le fichier svchosts.dll est supprimé différement. (A tester).
Demande toujours un rapport HijackThis lors de l'utilisation de SmitfraudFix car l'infection est souvent accompagnée d'autres malware qui ne sont pas intégrés au script.
a+
