411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
salut S!Ri
sur le fix a cette endroit
if exist svchosts.dll (
attrib -r -s -h svchosts.dll
ren svchosts.dll svchosts.old la tu renomme
del /a /f svchosts.old la tu suppr
if NOT exist svchosts.old echo %syspath%\svchosts.dll supprimé>>rapport2.txt si le fait de renommer na pas marcher il faudrait peut etre rajouter une verification
if exist svchosts.old echo Problème suppression %syspath%\svchosts.dll>>rapport2.txt
if exist svchosts.dll echo probleme de suppression %syspath%\svchosts.dll>>rapport2.txt
)
sur le fix a cette endroit
if exist svchosts.dll (
attrib -r -s -h svchosts.dll
ren svchosts.dll svchosts.old la tu renomme
del /a /f svchosts.old la tu suppr
if NOT exist svchosts.old echo %syspath%\svchosts.dll supprimé>>rapport2.txt si le fait de renommer na pas marcher il faudrait peut etre rajouter une verification
if exist svchosts.old echo Problème suppression %syspath%\svchosts.dll>>rapport2.txt
if exist svchosts.dll echo probleme de suppression %syspath%\svchosts.dll>>rapport2.txt
)
salut balltrap
j'ai pas testé voir si ca marche, peut etre quelque chose dans ce genre:
faut voir avec s!ri..
j'ai pas testé voir si ca marche, peut etre quelque chose dans ce genre:
if exist svchosts.dll ( attrib -r -s -h svchosts.dll ren svchosts.dll svchosts.old if exist svchosts.old ( echo %syspath%\svchosts.dll renommée>>rapport2.txt del /a /f svchosts.old ) else ( echo Impossible de renommer %syspath%\svchosts.dll>>rapport2.txt) if NOT exist svchosts.old ( echo %syspath%\svchosts.dll supprimé>>rapport2.txt) else ( echo Problème suppression %syspath%\svchosts.dll>>rapport2.txt)
faut voir avec s!ri..
Salut
Bonne idée, je vais modifier le script dès que j'aurais un peu de temps libre aujourd'hui.
a+
ps: cette méthode qui consiste à renommer avant d'effacer ne fonctionne pas avec tous les fichiers. Surtout ceux précisés au post <357> à savoir :
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
Il y en a certainement d'autre, pour ceux là, il faut utiliser Killbox puis effacer les entrées du registre avec HijackThis.
Bonne idée, je vais modifier le script dès que j'aurais un peu de temps libre aujourd'hui.
a+
ps: cette méthode qui consiste à renommer avant d'effacer ne fonctionne pas avec tous les fichiers. Surtout ceux précisés au post <357> à savoir :
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
Il y en a certainement d'autre, pour ceux là, il faut utiliser Killbox puis effacer les entrées du registre avec HijackThis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut S!ri
Pour 2 des 3 fichiers dont tu parles, il y a ce prog aussi:
http://users.telenet.be/marcvn/tools/win32delfkil.exe
Si tu as le temps, jete un oeil dessus.
a+
Pour 2 des 3 fichiers dont tu parles, il y a ce prog aussi:
http://users.telenet.be/marcvn/tools/win32delfkil.exe
Si tu as le temps, jete un oeil dessus.
a+
Bonjour Moe,
Et en plus, il est très efficace, je m'en suis servi il y a quelques jours : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/resolu_your_computer_is_infected-394222/messages-1.html
Cependant, il semble qu'il y ait toujours des problèmes pour supprimer svchosts.dll : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/virus/drole_de_message-394050/messages-1.html
Et en plus, il est très efficace, je m'en suis servi il y a quelques jours : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/resolu_your_computer_is_infected-394222/messages-1.html
Cependant, il semble qu'il y ait toujours des problèmes pour supprimer svchosts.dll : http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/virus/drole_de_message-394050/messages-1.html
Salut moe,
Je vois qu'il opère de la même façon.
J'ai aussi du mettre une clef dans le runonce pour supprimer certains fichiers qui résistent. Je vais donc continuer dans cette voie.
Thanxx
a+
Je vois qu'il opère de la même façon.
J'ai aussi du mettre une clef dans le runonce pour supprimer certains fichiers qui résistent. Je vais donc continuer dans cette voie.
Thanxx
a+
salut s!ri
Je sais pas s'il s'agit de la même variante, mais sur ce lien on peut voir le détail d'une infection, et svchosts.dll est présent.
http://www.webhelper4u.com/CWS/gfoogle_xcnn43005.html
Apparement, tres interressant.
Dans pratiquement tout les rapports de scan av detectant svchosts.dll on retrouve aussi ce type de fichier:
C:\WINDOWS\system32\1024\ldF284.tmp (les 2 premières lettre ld restent toujours les mêmes, le dossier 1024 aussi).
Il existe aussi un uninstall, apparement vérolé d'après avg (le seul à le detecter).
a+
Je sais pas s'il s'agit de la même variante, mais sur ce lien on peut voir le détail d'une infection, et svchosts.dll est présent.
http://www.webhelper4u.com/CWS/gfoogle_xcnn43005.html
Apparement, tres interressant.
Dans pratiquement tout les rapports de scan av detectant svchosts.dll on retrouve aussi ce type de fichier:
C:\WINDOWS\system32\1024\ldF284.tmp (les 2 premières lettre ld restent toujours les mêmes, le dossier 1024 aussi).
Il existe aussi un uninstall, apparement vérolé d'après avg (le seul à le detecter).
a+
Salut
Voila une nouvelle mise a jour du fix.
Pendant le nettoyage, le fix va mettre fin à explorer. exe pour nettoyer certains fichiers. (Je voulais jusque la éviter de le terminer a cause de certains désagréments notamment les icones de la task bar).
De même, un reboot sera necessaire pour terminer le nettoyage (la aussi, il était seulement necessaire de redemarrer lorsque wininet.dll était infecté).
Le fichier rapport.txt se trouve maintenant à la racine du disque système (en général c:)
Il est toujours recommandé de faire le nettoyage en mode sans échec.
Version 1.96
%bureau%\m00.exe
%windir%\adsldpbc.dll
%windir%\q*_disk.dll
%windir%\slassac.dll
%windir%\svchost.exe
%system%\cnymxw32.dll
%system%\prflbmsgp32.dll
%system%\sysbho.exe
%system%\sysmain.dll
%system%\winstyle2.dll
%system%\winstyle3.dll
%system%\winstyle32.dll
O4 - HKLM\..\Run: [System Redirect]
O4 - HKCU\..\Run: [System]
HKEY_CLASSES_ROOT\CLSID\{0976BE78-EA53-4DD6-91E6-E6175940032B}
HKEY_CLASSES_ROOT\CLSID\{16875E09-927B-4494-82BD-158A1CD46BA0}
HKEY_CLASSES_ROOT\CLSID\{405132A4-5DD1-4BA8-A181-95C8D435093A}
HKEY_CLASSES_ROOT\CLSID\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
HKEY_CLASSES_ROOT\CLSID\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
HKEY_CLASSES_ROOT\CLSID\{8D82BB89-B58C-4F21-9C5D-377F65947806}
HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}
HKEY_CLASSES_ROOT\CLSID\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
HKEY_CLASSES_ROOT\CLSID\{C7CF1142-0785-4B12-A280-B64681E4D45E}
HKEY_CLASSES_ROOT\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
HKEY_CURRENT_USER\Software\Microsoft\style2
HKEY_CURRENT_USER\Software\Microsoft\style3
HKEY_CURRENT_USER\Software\Microsoft\style32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0976BE78-EA53-4DD6-91E6-E6175940032B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16875E09-927B-4494-82BD-158A1CD46BA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{405132A4-5DD1-4BA8-A181-95C8D435093A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D82BB89-B58C-4F21-9C5D-377F65947806}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B212D577-05B7-4963-911E-4A8588160DFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7CF1142-0785-4B12-A280-B64681E4D45E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{16875E09-927B-4494-82BD-158A1CD46BA0}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{B212D577-05B7-4963-911E-4A8588160DFA}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{C7CF1142-0785-4B12-A280-B64681E4D45E}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gggg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ggggg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\st3i
Voila une nouvelle mise a jour du fix.
Pendant le nettoyage, le fix va mettre fin à explorer. exe pour nettoyer certains fichiers. (Je voulais jusque la éviter de le terminer a cause de certains désagréments notamment les icones de la task bar).
De même, un reboot sera necessaire pour terminer le nettoyage (la aussi, il était seulement necessaire de redemarrer lorsque wininet.dll était infecté).
Le fichier rapport.txt se trouve maintenant à la racine du disque système (en général c:)
Il est toujours recommandé de faire le nettoyage en mode sans échec.
Version 1.96
%bureau%\m00.exe
%windir%\adsldpbc.dll
%windir%\q*_disk.dll
%windir%\slassac.dll
%windir%\svchost.exe
%system%\cnymxw32.dll
%system%\prflbmsgp32.dll
%system%\sysbho.exe
%system%\sysmain.dll
%system%\winstyle2.dll
%system%\winstyle3.dll
%system%\winstyle32.dll
O4 - HKLM\..\Run: [System Redirect]
O4 - HKCU\..\Run: [System]
HKEY_CLASSES_ROOT\CLSID\{0976BE78-EA53-4DD6-91E6-E6175940032B}
HKEY_CLASSES_ROOT\CLSID\{16875E09-927B-4494-82BD-158A1CD46BA0}
HKEY_CLASSES_ROOT\CLSID\{405132A4-5DD1-4BA8-A181-95C8D435093A}
HKEY_CLASSES_ROOT\CLSID\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
HKEY_CLASSES_ROOT\CLSID\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
HKEY_CLASSES_ROOT\CLSID\{8D82BB89-B58C-4F21-9C5D-377F65947806}
HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}
HKEY_CLASSES_ROOT\CLSID\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
HKEY_CLASSES_ROOT\CLSID\{C7CF1142-0785-4B12-A280-B64681E4D45E}
HKEY_CLASSES_ROOT\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
HKEY_CURRENT_USER\Software\Microsoft\style2
HKEY_CURRENT_USER\Software\Microsoft\style3
HKEY_CURRENT_USER\Software\Microsoft\style32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0976BE78-EA53-4DD6-91E6-E6175940032B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16875E09-927B-4494-82BD-158A1CD46BA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{405132A4-5DD1-4BA8-A181-95C8D435093A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D82BB89-B58C-4F21-9C5D-377F65947806}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B212D577-05B7-4963-911E-4A8588160DFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7CF1142-0785-4B12-A280-B64681E4D45E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{16875E09-927B-4494-82BD-158A1CD46BA0}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{B212D577-05B7-4963-911E-4A8588160DFA}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{C7CF1142-0785-4B12-A280-B64681E4D45E}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gggg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ggggg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\st3i
Salut à tous ,
bravo pour le pti programme :)
une infection ne part pas hijack, anti-spyware, rien n'a faire
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\geebx.dll
O20 - Winlogon Notify: geebx - C:\WINDOWS\System32\geebx.dll
http://www.commentcamarche.net/forum/affich-1919629-Geebx-devra-%EAtre-d%E9truite
Variante de quelque chose?comment faire? voilà si ça vous interresse ;)
bravo pour le pti programme :)
une infection ne part pas hijack, anti-spyware, rien n'a faire
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\geebx.dll
O20 - Winlogon Notify: geebx - C:\WINDOWS\System32\geebx.dll
http://www.commentcamarche.net/forum/affich-1919629-Geebx-devra-%EAtre-d%E9truite
Variante de quelque chose?comment faire? voilà si ça vous interresse ;)
Bonjour Boulepate,
Ceci est la caractéristique d'une infection de Vundo, lié à Winfixer. Tu as un tuto ici :
http://www.bleepingcomputer.com/forums/index.php?showtopic=18610&pid=110599&st=0entry110599
Ceci est la caractéristique d'une infection de Vundo, lié à Winfixer. Tu as un tuto ici :
http://www.bleepingcomputer.com/forums/index.php?showtopic=18610&pid=110599&st=0entry110599
Ca doit ressembler à ça au final :
http://www.commentcamarche.net/forum/affich-1922356-logiciel-parasite-Please-help
http://www.commentcamarche.net/forum/affich-1922356-logiciel-parasite-Please-help
Salut boulepate
Trojan vundo = trojan agent cs 1
J ai mis la manip sur le poste que tu t occupes mais elle a du mal faire ce que je lui demandais....
Pour info:
http://www.commentcamarche.net/forum/affich-1519637-TROJAN-AGENT-CS1-Besoin-d-aide#2005-05-13%2022%3A59%3A29
a+
Trojan vundo = trojan agent cs 1
J ai mis la manip sur le poste que tu t occupes mais elle a du mal faire ce que je lui demandais....
Pour info:
http://www.commentcamarche.net/forum/affich-1519637-TROJAN-AGENT-CS1-Besoin-d-aide#2005-05-13%2022%3A59%3A29
a+
Nouvelle version du Fix:
Version 1.97
%ProgramFiles%\Fichiers communs\Download\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\Download\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\InetGet\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\InetGet\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\Windows\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\Windows\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\Windows\services32.exe
%ProgramFiles%\Common Files\Windows\services32.exe
%allusersprofile%\Menu Démarrer\Programmes\P.S.Guard spyware remover
%system%\msupdate32.dll
%system%\MTC.dll
%system%\MTC.ini
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
O4 - HKCU\..\Run: [services32]
O20 - Winlogon Notify: msupdate
a++
Version 1.97
%ProgramFiles%\Fichiers communs\Download\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\Download\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\InetGet\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\InetGet\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\Windows\mc-58-12-0000113.exe
%ProgramFiles%\Common Files\Windows\mc-58-12-0000113.exe
%ProgramFiles%\Fichiers communs\Windows\services32.exe
%ProgramFiles%\Common Files\Windows\services32.exe
%allusersprofile%\Menu Démarrer\Programmes\P.S.Guard spyware remover
%system%\msupdate32.dll
%system%\MTC.dll
%system%\MTC.ini
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
O4 - HKCU\..\Run: [services32]
O20 - Winlogon Notify: msupdate
a++
Salut
Version 1.98
%ProgramFiles%\SpyAxe\
%HOMEDRIVE%\ecsiin.stub.exe
%HOMEDRIVE%\stub_113_4_0_4_0.exe
%windir%\adtech2005.exe
%windir%\secure32.html
%windir%\timessquare.exe
%windir%\toolbar.exe
%system%\sywsvcs.exe
%ProgramFiles%\Fichiers communs\muwq\
O4 - HKLM\..\Run: [ecsiin]
O4 - HKLM\..\Run: [timessquare]
O4 - HKLM\..\Run: [adtech2005]
O4 - HKCU\..\Run: [muwq]
O4 - HKCU\..\Run: [qwum]
O16 - DPF: {10003000-1000-0000-1000-000000000000}
a+
Version 1.98
%ProgramFiles%\SpyAxe\
%HOMEDRIVE%\ecsiin.stub.exe
%HOMEDRIVE%\stub_113_4_0_4_0.exe
%windir%\adtech2005.exe
%windir%\secure32.html
%windir%\timessquare.exe
%windir%\toolbar.exe
%system%\sywsvcs.exe
%ProgramFiles%\Fichiers communs\muwq\
O4 - HKLM\..\Run: [ecsiin]
O4 - HKLM\..\Run: [timessquare]
O4 - HKLM\..\Run: [adtech2005]
O4 - HKCU\..\Run: [muwq]
O4 - HKCU\..\Run: [qwum]
O16 - DPF: {10003000-1000-0000-1000-000000000000}
a+
Salut,
affirmatif, j'ai ajouté dans le script certaines clés qui n'étaient pas prises en comptes dans les anciennes versions du fix.
Il serait possible de demander un rapport de Regsrch sur cette valeur: 7caf96a2-c556-460a-988e-76fc7895d284 et HomepageBHO
Lorsque cette ligne apparait dans un rapport Hijackthis:
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp
???? etant des chiffres/lettres aléatoires.
C'est généralement lié à des infections par SpyAxe...
Merci
affirmatif, j'ai ajouté dans le script certaines clés qui n'étaient pas prises en comptes dans les anciennes versions du fix.
Il serait possible de demander un rapport de Regsrch sur cette valeur: 7caf96a2-c556-460a-988e-76fc7895d284 et HomepageBHO
Lorsque cette ligne apparait dans un rapport Hijackthis:
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp
???? etant des chiffres/lettres aléatoires.
C'est généralement lié à des infections par SpyAxe...
Merci
