411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
ca correpondrait à ceci:
Trojan.Stwoyle
http://securityresponse.symantec.com/avcenter/venc/data/trojan.stwoyle.html
troj.stydler.a
http://www.sophos.com/virusinfo/analyses/trojstydlera.html
a+
Trojan.Stwoyle
http://securityresponse.symantec.com/avcenter/venc/data/trojan.stwoyle.html
troj.stydler.a
http://www.sophos.com/virusinfo/analyses/trojstydlera.html
a+
Salut
J'ai ajouté une fonction au fix:
En selectionnant l'option 3, le fix réinitialise les sites de confiances/sensibles. ( == DelDomains.inf )
Ceci n'étant pas nécessaire dans tous les cas, j'ai préferé aujouter une 3ème option.
a+
J'ai ajouté une fonction au fix:
En selectionnant l'option 3, le fix réinitialise les sites de confiances/sensibles. ( == DelDomains.inf )
Ceci n'étant pas nécessaire dans tous les cas, j'ai préferé aujouter une 3ème option.
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut s!ri
j'ai vu que tu recherche les entrées dans le registre pour q*_disk.dll
en voilà une detecté par silentrunners:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q207092172_disk.dll" [null data]
et une pour psguard detecté par ewido:
HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD\PSGUARD
a+
j'ai vu que tu recherche les entrées dans le registre pour q*_disk.dll
en voilà une detecté par silentrunners:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "Memory monitor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q207092172_disk.dll" [null data]
et une pour psguard detecté par ewido:
HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD\PSGUARD
a+
Merci pour les clés moe, je met tout ca de coté.
Pour l'instant je ne trouve pas 2x le même CLSID...
Tu penses aux virus dans ton camion/tracteur Balltrap ?
Pour l'instant je ne trouve pas 2x le même CLSID...
Tu penses aux virus dans ton camion/tracteur Balltrap ?
oui tous a fait ji pense et j est plein d idee que je ne peut pas mettre en pratique il faut vraiment que je m achete mon portable
comlme j est arreter de fumer l argent vas me servir a cela
comlme j est arreter de fumer l argent vas me servir a cela
j est craker un peut hier mais je n est pas abandonner lol
3 paquets par jour cela commencais a faire un peu trop lol
3 paquets par jour cela commencais a faire un peu trop lol
ah oui quand meme !
On dit que le plus dur c'est le 1er mois, mais bon je suis jamais arrivé jusque là....
lache pas l'affaire
j'arrete pour ce soir, crevé..
a++
On dit que le plus dur c'est le 1er mois, mais bon je suis jamais arrivé jusque là....
lache pas l'affaire
j'arrete pour ce soir, crevé..
a++
re
en meme temp que intell32 celui ci aussi je l est vu plusieurs fois
C:\WINDOWS\system32\intmon.exe
et toujour soucis de suppr de
C:\WINDOWS\system32\oleext.dll
en meme temp que intell32 celui ci aussi je l est vu plusieurs fois
C:\WINDOWS\system32\intmon.exe
et toujour soucis de suppr de
C:\WINDOWS\system32\oleext.dll
Hello,
3 paquets par jours !
C'est clair que tu vas faire des economies si tu arrêtes.
(Tes poumons te diront merci aussi)
C'est Ok pour intmon.exe.
Le soucis de suppression oleext.dll est le même qu'avec oleadm.dll
Les nouvelles versions de l'infection n'utilisent plus oleadm.dll mais oleext.dll. La dll est en mémoire au moment du nettoyage. Et généralement, c'est quand wininet.dll est infecté.
Le fix tente une 1ere suppression à chaud, puis lors du reboot avec wininet.old . Le mieux est encore de nettoyer en mode sans echec.
Concernant q*_disk.dll, voila ce que j'ai pu trouver comme infos :
Il y a plusieurs versions (et différents noms Trojan-Downloader.Win32.Delf.pa , Trojan-Downloader.Win32.Delf.h , Troj/Stydler-A , Trojan.Stwoyle). Parfois en rapport avec une infection de type DesktopHijack, parfois non.
Les fichiers:
q*_disk.dll (avec * == une série de chiffres)
winstyle2.dll
winstyle3.dll
CLSID:
0976BE78-EA53-4DD6-91E6-E6175940032B
B212D577-05B7-4963-911E-4A8588160DFA
6AC3806F-8B39-4746-9C38-6B01CB7331FF
Enregistrement dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify :
O20 - Winlogon Notify: style2 - C:\WINDOWS\q*_disk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle2.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle3.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll (assez rare)
Nettoyage possible (Modifier le CLSID et le nom de la clé en fonction de l'infection):
REGEDIT4
[-HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
[-HKEY_CURRENT_USER\Software\Microsoft\style2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6AC3806F-8B39-4746-9C38-6B01CB7331FF}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2]
a+
3 paquets par jours !
C'est clair que tu vas faire des economies si tu arrêtes.
(Tes poumons te diront merci aussi)
C'est Ok pour intmon.exe.
Le soucis de suppression oleext.dll est le même qu'avec oleadm.dll
Les nouvelles versions de l'infection n'utilisent plus oleadm.dll mais oleext.dll. La dll est en mémoire au moment du nettoyage. Et généralement, c'est quand wininet.dll est infecté.
Le fix tente une 1ere suppression à chaud, puis lors du reboot avec wininet.old . Le mieux est encore de nettoyer en mode sans echec.
Concernant q*_disk.dll, voila ce que j'ai pu trouver comme infos :
Il y a plusieurs versions (et différents noms Trojan-Downloader.Win32.Delf.pa , Trojan-Downloader.Win32.Delf.h , Troj/Stydler-A , Trojan.Stwoyle). Parfois en rapport avec une infection de type DesktopHijack, parfois non.
Les fichiers:
q*_disk.dll (avec * == une série de chiffres)
winstyle2.dll
winstyle3.dll
CLSID:
0976BE78-EA53-4DD6-91E6-E6175940032B
B212D577-05B7-4963-911E-4A8588160DFA
6AC3806F-8B39-4746-9C38-6B01CB7331FF
Enregistrement dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify :
O20 - Winlogon Notify: style2 - C:\WINDOWS\q*_disk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle2.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\system32\winstyle3.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll (assez rare)
Nettoyage possible (Modifier le CLSID et le nom de la clé en fonction de l'infection):
REGEDIT4
[-HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
[-HKEY_CURRENT_USER\Software\Microsoft\style2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6AC3806F-8B39-4746-9C38-6B01CB7331FF}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2]
a+
