411 réponses
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
Le boulo, le forum, le fix...
j'vais me prendre un café et me mettre au calme 5mn
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai remarqué qu' Avgold ( et certainement les autres variantes) modifie les zones et domaines de confiance.
Vous pouvez me confirmer mes soupcons ?
a+
Merci.
Dans ce cas je modifie le fix pour corriger quelques clés du registre et il n'y aura pas besoin d'utiliser: http://www.mvps.org/winhelp2002/DelDomains.inf
vu ici par Spybot:
http://forum.zebulon.fr/index.php?showtopic=70549&pid=544582&st=15
a+
Pas de suite, j'attend de voir si d'autres versions de l'infection modifient les clés des domaines de confiance.
a+
mais je vais pas pouvoir te donner des renseignement d ici le week end fini les vacances demain je reprend le 40 tonnes lol
J'aurais besoin de tes lumieres...
Dans win 98
est ce que la variable %USERPROFILE%
correspond bien à:
C:\WINDOWS\PROFILES\nom du compte
est ce que la variable %ALLUSERSPROFILE%
correspond bien à:
C:\WINDOWS\All Users
est ce que le chemin et le meme que pour xp, pour les taches planifiées:
C:\WINDOWS\Tasks
et au passage une nouvelle entrée dans le registre pour C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
je ne l'ai vu qu'une seule fois pour l'instant
a+
Je ne pense pas que ces variables existent sous Win98.
Pour tasks j'avoue ne pas savoir...
Je me suis trouvé une machine avec Win98, mais là je n'ai pas le temps de la brancher. Je te dirais ca demain.
J'ai modifié le fix. toujours en version 1.3, mais avec la clé:
O4 - HKCU\..\Run: [SNInstall] à supprimer.
Merci :-)
a+
Moe,
le rep C:\WINDOWS\Tasks\ est bien le même sous win98.
Pour les variables, comme je te l'avais dis plus haut, elles n'existent pas.
Concernant le fix,
J'ai ajouté le répertoire Daily Weather Forecast à supprimer, ainsi que les clés qui vont avec (run et uninstall).
On s'était déja posé la question avec Moe. Ce programme était souvant présent dans les logs.
http://www.commentcamarche.net/forum/affich-1668546-probl%E8me-avec-spysheriff?CCMSESSID=e4622dacf6a50e4d398092b9bdc7d3e0#24
http://www.sophos.com/virusinfo/analyses/trojdloaderip.html
http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html
a+
merci d'avoir précisé
pour Daily Weather Forecast, on commence à le voir apparaitre dans quelques logs, bien vu.
a+
apparement un probleme de suppression du fichier oleext.dll quand wininet et infectée.
Je crois que ca viens de la seconde passe (fixclean.cmd), oleadm.dll est supprimée mais pas oleext.dll.
a+
J'ai ajouté à fixclean.cmd les commandes pour supprimer oleext.dll
thanxx
Je suis en train de chercher un peu plus de renseignements sur celui là:
http://www.sophos.com/virusinfo/analyses/trojdloadergl.html
Qui concerne les fichiers vxh8jkdq5.exe, vxh8jkdq?.exe ... et le DisableTaskMgr mis à 1 dans les policies...
a+
oui, ca serait bien de le rajouter
sinon, pour la recherche de fichiers crées en meme temps qu'intell32, j'ai remarqué que dans les cas oleext.dll+intell32 il y a souvent un fichier du type q1580001_disk.dll crée au meme moment.
a+
