411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
Salut
Voila une grosse mise a jour suite à une infection par ce qui semble une nouvelle variante: WinHound
Version 1.99
%HOMEDRIVE%\contextplus.exe
%HOMEDRIVE%\drsmartload1.exe
%windir%\notepad.com
%windir%\psg.exe
%windir%\rzs.exe
%windir%\sec.exe
%system%\msbe.dll
%system%\notepad.com
%syspath%\nvms.dll
%syspath%\shdochp.dll
%system%\shdochp.exe
%syspath%\shsexl32.dll
%syspath%\x.exe
%ProgramFiles%\WinHound\
C:\Documents and Settings\****\Desktop\access
C:\Documents and Settings\****\Desktop\domains
C:\Documents and Settings\****\Desktop\map.txt
C:\Documents and Settings\All Users\Desktop\WinHound spyware remover
%allusersprofile%\Menu Démarrer\Programmes\WinHound spyware remover
O4 - HKLM\..\Run: [FHPage]
O4 - HKLM\..\Run: [WinHound]
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinHound spyware remover
HKEY_CLASSES_ROOT\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
HKEY_CLASSES_ROOT\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
HKEY_CLASSES_ROOT\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
HKEY_CLASSES_ROOT\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
HKEY_CLASSES_ROOT\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
HKEY_CLASSES_ROOT\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
HKEY_CLASSES_ROOT\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
HKEY_CLASSES_ROOT\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
HKEY_CLASSES_ROOT\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
HKEY_CLASSES_ROOT\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
HKEY_CLASSES_ROOT\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
HKEY_CLASSES_ROOT\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
HKEY_CLASSES_ROOT\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
HKEY_CLASSES_ROOT\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
HKEY_CLASSES_ROOT\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
HKEY_CLASSES_ROOT\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
HKEY_CLASSES_ROOT\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
HKEY_CLASSES_ROOT\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
HKEY_CLASSES_ROOT\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
HKEY_CLASSES_ROOT\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
HKEY_CLASSES_ROOT\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
HKEY_CLASSES_ROOT\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
HKEY_CLASSES_ROOT\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
HKEY_CLASSES_ROOT\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
HKEY_CLASSES_ROOT\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
HKEY_CLASSES_ROOT\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
HKEY_CLASSES_ROOT\NLS.UrlCatcher
HKEY_CLASSES_ROOT\NLS.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
HKEY_CLASSES_ROOT\ADP.UrlCatcher
HKEY_CLASSES_ROOT\ADP.UrlCatcher.1
HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp
HKEY_CLASSES_ROOT\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7caf96a2-c556-460a-988e-76fc7895d284}
Je viens de voir le lien CJoint de moe concernant SpyAxe... merci, j'ajouterai cela pour la version 2.0
a++
Voila une grosse mise a jour suite à une infection par ce qui semble une nouvelle variante: WinHound
Version 1.99
%HOMEDRIVE%\contextplus.exe
%HOMEDRIVE%\drsmartload1.exe
%windir%\notepad.com
%windir%\psg.exe
%windir%\rzs.exe
%windir%\sec.exe
%system%\msbe.dll
%system%\notepad.com
%syspath%\nvms.dll
%syspath%\shdochp.dll
%system%\shdochp.exe
%syspath%\shsexl32.dll
%syspath%\x.exe
%ProgramFiles%\WinHound\
C:\Documents and Settings\****\Desktop\access
C:\Documents and Settings\****\Desktop\domains
C:\Documents and Settings\****\Desktop\map.txt
C:\Documents and Settings\All Users\Desktop\WinHound spyware remover
%allusersprofile%\Menu Démarrer\Programmes\WinHound spyware remover
O4 - HKLM\..\Run: [FHPage]
O4 - HKLM\..\Run: [WinHound]
HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinHound spyware remover
HKEY_CLASSES_ROOT\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
HKEY_CLASSES_ROOT\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
HKEY_CLASSES_ROOT\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
HKEY_CLASSES_ROOT\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
HKEY_CLASSES_ROOT\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
HKEY_CLASSES_ROOT\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
HKEY_CLASSES_ROOT\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
HKEY_CLASSES_ROOT\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
HKEY_CLASSES_ROOT\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
HKEY_CLASSES_ROOT\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
HKEY_CLASSES_ROOT\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
HKEY_CLASSES_ROOT\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
HKEY_CLASSES_ROOT\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
HKEY_CLASSES_ROOT\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
HKEY_CLASSES_ROOT\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
HKEY_CLASSES_ROOT\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
HKEY_CLASSES_ROOT\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
HKEY_CLASSES_ROOT\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
HKEY_CLASSES_ROOT\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
HKEY_CLASSES_ROOT\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
HKEY_CLASSES_ROOT\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
HKEY_CLASSES_ROOT\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
HKEY_CLASSES_ROOT\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
HKEY_CLASSES_ROOT\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
HKEY_CLASSES_ROOT\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
HKEY_CLASSES_ROOT\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
HKEY_CLASSES_ROOT\NLS.UrlCatcher
HKEY_CLASSES_ROOT\NLS.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
HKEY_CLASSES_ROOT\ADP.UrlCatcher
HKEY_CLASSES_ROOT\ADP.UrlCatcher.1
HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp
HKEY_CLASSES_ROOT\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7caf96a2-c556-460a-988e-76fc7895d284}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7caf96a2-c556-460a-988e-76fc7895d284}
Je viens de voir le lien CJoint de moe concernant SpyAxe... merci, j'ajouterai cela pour la version 2.0
a++
salut
je vois que la machine virtuel te permet de faire un malheur c est super
par contre en se moment traine une infection look2Me nouvelle
et apparament seul spyswepper l eradique cela me parait bizzard
je vois que la machine virtuel te permet de faire un malheur c est super
par contre en se moment traine une infection look2Me nouvelle
et apparament seul spyswepper l eradique cela me parait bizzard
Salut,
Une vrais cochonerie ce L2M, Je m'en prend de plus en plus lorsque je teste les pages liées à spysheriff et Psguard...
Voila la nouvelle version. Merci à Moe et Balltrap pour les infos !
a+
Version 2.00
%system%\ot.ico
%system%\ts.ico
%system%\migicons.exe
%system%\1024\
%ProgramFiles%\SpyAxe\
O4 - HKLM\..\Run: [SpyAxe]
HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
HKEY_CLASSES_ROOT\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53525A6C-3774-4b47-B317-BC7DFE4FC7ED}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe
HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}
Une vrais cochonerie ce L2M, Je m'en prend de plus en plus lorsque je teste les pages liées à spysheriff et Psguard...
Voila la nouvelle version. Merci à Moe et Balltrap pour les infos !
a+
Version 2.00
%system%\ot.ico
%system%\ts.ico
%system%\migicons.exe
%system%\1024\
%ProgramFiles%\SpyAxe\
O4 - HKLM\..\Run: [SpyAxe]
HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
HKEY_CLASSES_ROOT\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53525A6C-3774-4b47-B317-BC7DFE4FC7ED}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe
HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir S!Ri, Ton programme "Smitfraudfix" a l'air très intéressant. Je voudrais juste savoir comment on l'utilise à sa guise. Je crois qu'il y a une histoire d'options (option 1, puis option 2). De quoi s'agit-il exactement ? Merci par avance et @ +
SmitfraudFix (WinXP, Win2K)
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Cet utilitaire corrige les infections de type: DesktopHijack, Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound...
Utilisation:
Dezipper la totalité de l'archive smitfraudfix.zip
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.
Sélectionner 2 pour supprimer les fichiers respondables de l'infection. (de préférence en mode sans echec)
Répondre O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté, dans ce cas, répondre O (oui) à la question "Corriger le fichier infecté ?" pour remplacer le fichier corrompu.
Sélectionner 3 pour effacer la liste des site de confiance et sensibles.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
a+
salut S!ri
Je ne sais pas si tu as eu l'occasion de lire ce lien pour winhound
http://virus-protect.net/artikel/spyware/winhound.html
je te le met au cas ou.
a++
Je ne sais pas si tu as eu l'occasion de lire ce lien pour winhound
http://virus-protect.net/artikel/spyware/winhound.html
je te le met au cas ou.
a++
Salut moe,
Merci pour le lien, je vais comparer avec mes notes et mettre à jour en cas de besoin.
J'ai contacté noahdfear a propos de cette nouvelle infection en lui faisant part de mes logs. Je suppose qu'une mise a jour de SmitRem ne devrait pas tarder ;-)
a+
Merci pour le lien, je vais comparer avec mes notes et mettre à jour en cas de besoin.
J'ai contacté noahdfear a propos de cette nouvelle infection en lui faisant part de mes logs. Je suppose qu'une mise a jour de SmitRem ne devrait pas tarder ;-)
a+
re
oui, ca a l'air tout recent, le fix commence à prendre une sacrée ampleur maintenant, lol
Tu sais ce que pense noahdfear de smitfraudfix ?
En tout cas je trouve ca bien que vous puissiez partager des infos.
a+
oui, ca a l'air tout recent, le fix commence à prendre une sacrée ampleur maintenant, lol
Tu sais ce que pense noahdfear de smitfraudfix ?
En tout cas je trouve ca bien que vous puissiez partager des infos.
a+
Noahfear, je ne sais pas encore, Miekiemoes qui collabore avec lui m'avait dit que c'était du bon boulo. :D
Reste a voir jusqu'ou ca ira...
Des developpeurs Allemands (Marc et Sabina) ont aussi fait un fix: Generic Smitfraud Remover : http://forum.hijackthis.de/showthread.php?t=6392 (on en a parlé sur le forum securité de zebulon). La aussi, il y a parfois partage d'informations grace a Ruby qui aide les utilisateurs germaniques sur HijackThis.de
Reste a voir jusqu'ou ca ira...
Des developpeurs Allemands (Marc et Sabina) ont aussi fait un fix: Generic Smitfraud Remover : http://forum.hijackthis.de/showthread.php?t=6392 (on en a parlé sur le forum securité de zebulon). La aussi, il y a parfois partage d'informations grace a Ruby qui aide les utilisateurs germaniques sur HijackThis.de
salut en tous cas c est une bonne idee cette section sur zebulon
cela permet de comparer nos idee de se donner des avis des renseignements
moe il attende que tu tinscrive pour te donner l acces a cette section
cela permet de comparer nos idee de se donner des avis des renseignements
moe il attende que tu tinscrive pour te donner l acces a cette section
Salut Balltrap
J'utilise quelques utilitaires dont: OllyDbg, W32dasm, et des depackers.
Et bien sur VMWare ...
a+
J'utilise quelques utilitaires dont: OllyDbg, W32dasm, et des depackers.
Et bien sur VMWare ...
a+
oki je t ai mis un petit mot au sujet des rooktit sur zebulon
je vois pas comment le debusquer une fois cacher
je vois pas comment le debusquer une fois cacher
Salut
Nouvelle version du fix, concernant cette infection bxproxy.exe (Backdoor.Win32.Agent.qs) qui se copie dans bnmsrv.exe et installe un service RpcxSs.dll (Remote Procedure Call (RPC) Extensions). Merci pour l'upload Balltrap ;-)
HijackThis ne voit pas le service par contre Silent Runner le voit bien:
Running Services (Display Name, Service Name, Path {Service DLL}):
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll" [MS]}
Le problème est que la Dll est signée microsoft. Pourtant, c'est bien bxproxy.exe qui l'a crée:
18:18:58 bxproxy.exe:700 CREATE C:\WINDOWS\System32\RpcxSs.dll SUCCESS Options: OverwriteIf Access: All
Version 2.02
C:\WINDOWS\bxproxy.exe
C:\WINDOWS\System32\bnmsrv.exe
C:\WINDOWS\System32\RpcxSs.dll
O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCXSS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcxSs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCXSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcxSs
Nouvelle version du fix, concernant cette infection bxproxy.exe (Backdoor.Win32.Agent.qs) qui se copie dans bnmsrv.exe et installe un service RpcxSs.dll (Remote Procedure Call (RPC) Extensions). Merci pour l'upload Balltrap ;-)
HijackThis ne voit pas le service par contre Silent Runner le voit bien:
Running Services (Display Name, Service Name, Path {Service DLL}):
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll" [MS]}
Le problème est que la Dll est signée microsoft. Pourtant, c'est bien bxproxy.exe qui l'a crée:
18:18:58 bxproxy.exe:700 CREATE C:\WINDOWS\System32\RpcxSs.dll SUCCESS Options: OverwriteIf Access: All
Version 2.02
C:\WINDOWS\bxproxy.exe
C:\WINDOWS\System32\bnmsrv.exe
C:\WINDOWS\System32\RpcxSs.dll
O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCXSS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcxSs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCXSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcxSs
lol c'est un monde ! ;-)
J'attendais depuis un moment un rapport Regsearch concernant une entrée présente avec SpyAxe. A force d'insister, j'ai enfin obtenu le log tant attendu. Et zou, nouvelle version:
SmitfraudFix v2.03
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp????.tmp
HKEY_CLASSES_ROOT\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}
J'attendais depuis un moment un rapport Regsearch concernant une entrée présente avec SpyAxe. A force d'insister, j'ai enfin obtenu le log tant attendu. Et zou, nouvelle version:
SmitfraudFix v2.03
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp????.tmp
HKEY_CLASSES_ROOT\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}
Bonjour,
Nouvelle version du fix. Les détails sont ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
a+
Nouvelle version du fix. Les détails sont ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
a+
