411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
je connait pas les membres d'assiste, mais j'ai noté la présence de vazkor sur les posts smitfraud il y a quelques jours.
C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.
J'ai cru comprendre que c'est tendu entre vous...
C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.
J'ai cru comprendre que c'est tendu entre vous...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
c est lui
cela a ete tendu maintenant c est bon
mais sur assite ils sont tres tres conservateur ont vas dire
a part pierre terdef tres sympa
cela a ete tendu maintenant c est bon
mais sur assite ils sont tres tres conservateur ont vas dire
a part pierre terdef tres sympa
oui, il était passé sur le forum, chercher des infos au moment ou il préparait son topic sur smitfraud.
Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.
Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.
Hello
c'est sympa d'avoir signalé le problème.
Ce site est une mine d'info. (LA référence francaise).
Le fix est en ligne:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Les modifications:
- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe
- Vérification des fichiers crées le même jour que intell32.exe.
(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).
a+
c'est sympa d'avoir signalé le problème.
Ce site est une mine d'info. (LA référence francaise).
Le fix est en ligne:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Les modifications:
- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe
- Vérification des fichiers crées le même jour que intell32.exe.
(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).
a+
salut siri
un % en trop ici, il me semble:
if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt)
popd
if exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txt
pour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?
Pour process je crois qu'il à du le prendre ici:
http://www.beyondlogic.org/solutions/processutil/processutil.htm
y a pas de copyright, contrairement à taskill de chez crosoft
a+
un % en trop ici, il me semble:
if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt)
popd
if exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txt
pour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?
Pour process je crois qu'il à du le prendre ici:
http://www.beyondlogic.org/solutions/processutil/processutil.htm
y a pas de copyright, contrairement à taskill de chez crosoft
a+
re'
Je me suis basé sur l2mfix ;-)
Je teste s'il est dispo au coté de smitfraudfix.cmd
s'il l'est, je le copie dans %system% (si il n'y est pas déja).
Au moment de quitter le batch, je le supprime.
J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.
Je me suis basé sur l2mfix ;-)
Je teste s'il est dispo au coté de smitfraudfix.cmd
s'il l'est, je le copie dans %system% (si il n'y est pas déja).
Au moment de quitter le batch, je le supprime.
J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.
re'
Merci de corriger derrière moi !
Je modifie ca de suite :-p
Pour la partie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
dans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.
Je viens de me relire en cas d'erreur de ma part, et c'est bon.
Merci de corriger derrière moi !
Je modifie ca de suite :-p
Pour la partie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
dans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.
Je viens de me relire en cas d'erreur de ma part, et c'est bon.
il y a 2-3 parties assez tordues dedans, mais le principal c'est quand même de la répétition: if exist blabla delete...
Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.
Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...
Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.
Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...
c'est ce qui a été fait pour le prog pfind new de chez bleeping, ils en ont fait un exe, il commencait à y avoir beaucoup trop de prog dans le zip, devenu winpfind.exe maintenant.
J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...
J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.
On retrouve meme quelques commandes identiques...
a+
J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...
J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.
On retrouve meme quelques commandes identiques...
a+
