411 réponses
Résumé de la discussion
Le problème central réside dans l’efficacité du fix SmitfraudFix face à des variantes évolutives et à des incompatibilités sur des systèmes plus anciens comme Windows 2000 et Windows 2003. Les échanges décrivent des tentatives de suppression par modification des autorisations, suppression manuelle de clés de registre et arrêt de services, suivies d’un scan antivirus révélant des éléments suspects. Des variantes et des mises à jour du fix sont évoquées, indiquant une évolution continue du code et des approches pour contourner l’infection. Enfin, il est signalé que certaines commandes système ne sont pas disponibles sur Windows 2000 et que le fix peut ne pas éliminer totalement certains composants, nécessitant des essais répétés et des ajustements manuels.
Salut
Moe, je vais regarder ce que tu me dis au post 139.
pour ntdetecd.exe, je l'avais mis en standby. Le temps de voir si c'était bien lié.
Le problème avec ce type de trojan Downloader, c'est que ca télecharge plusieurs type d'infections en même temps.
Une liste ci dessous des entrées/fichiers ou j'ai un doute concernant un lien avec Smitfraud/DeskTopHijack/AVGold...etc:
C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\RunServices: [desktop]
C:\WINDOWS\TEMP\?.qtdfmp - C:\WINNT\TEMP\?.qtdfmp - (%windir%\TEMP)
C:\WINDOWS\System32\msxct.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-itstml:file://C:.oo.mhttp://195.225.177.33//vx//targ.chm:/win32.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//098//targ.chm::/win32.exe
O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [SNInstall] c:\ntdetecd.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
F2 - REG:system.ini: Shell=Explorer.exe install32m.exe
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
C:\WINDOWS\system32\Oeoepi32.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\isrvs\edmond.exe
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\isearch.xpi
C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\msdbhk.dll
C:\WINDOWS\isrvs\sysupd.dll
http://www.symantec.com/avcenter/venc/data/adware.topav.html
Sans oublier les nouvelles versions...
Moe, je vais regarder ce que tu me dis au post 139.
pour ntdetecd.exe, je l'avais mis en standby. Le temps de voir si c'était bien lié.
Le problème avec ce type de trojan Downloader, c'est que ca télecharge plusieurs type d'infections en même temps.
Une liste ci dessous des entrées/fichiers ou j'ai un doute concernant un lien avec Smitfraud/DeskTopHijack/AVGold...etc:
C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\RunServices: [desktop]
C:\WINDOWS\TEMP\?.qtdfmp - C:\WINNT\TEMP\?.qtdfmp - (%windir%\TEMP)
C:\WINDOWS\System32\msxct.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-itstml:file://C:.oo.mhttp://195.225.177.33//vx//targ.chm:/win32.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//098//targ.chm::/win32.exe
O16 - DPF: {D8A8A7F1-53EF-41F2-B44D-F3E2E595DC27} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.172.102/336//main.chm::/update.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [SNInstall] c:\ntdetecd.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
F2 - REG:system.ini: Shell=Explorer.exe install32m.exe
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
C:\WINDOWS\system32\Oeoepi32.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\isrvs\edmond.exe
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\isearch.xpi
C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\msdbhk.dll
C:\WINDOWS\isrvs\sysupd.dll
http://www.symantec.com/avcenter/venc/data/adware.topav.html
Sans oublier les nouvelles versions...
Ok balltrap34, desktop.exe on va le mettre de coté.
Celui là par contre semble nouveau:
F2 - REG:system.ini: Shell=Explorer.exe sysinit32z.exe
C:\WINDOWS\system32\sysinit32z.exe -> TrojanDownloader.Small.bcv
Accompagné de:
C:\WINDOWS\system32\taras.exe -> TrojanDownloader.Small.bcv
ici:
http://www.commentcamarche.net/forum/affich-1733424-Papier-peint-remplac%E9-par-page-web-et-absence
et là:
http://www.infos-du-net.com/forum/122741-11-resultat-rapport
(Sur ce lien justement, regardez l'analyse ewido et ce qui se rapporte au trojan small...Keygen et crack... )
Ce trojan downloader small revient assez souvant dans ce type d'infection.
a+
Celui là par contre semble nouveau:
F2 - REG:system.ini: Shell=Explorer.exe sysinit32z.exe
C:\WINDOWS\system32\sysinit32z.exe -> TrojanDownloader.Small.bcv
Accompagné de:
C:\WINDOWS\system32\taras.exe -> TrojanDownloader.Small.bcv
ici:
http://www.commentcamarche.net/forum/affich-1733424-Papier-peint-remplac%E9-par-page-web-et-absence
et là:
http://www.infos-du-net.com/forum/122741-11-resultat-rapport
(Sur ce lien justement, regardez l'analyse ewido et ce qui se rapporte au trojan small...Keygen et crack... )
Ce trojan downloader small revient assez souvant dans ce type d'infection.
a+
salut
d'accord avec toi pour sysinit32z.exe et taras.exe
je crois que tu connais dejà ces liens
pour C:\WINDOWS\isrvs
http://www.webhelper4u.com/CWS/Research/screenimages/isrvsdesktopsearch.html
pour les CHM Exploit, lol ca va pas etre du gateau
http://www.webhelper4u.com/CWS/CWSdropper_exe_msgs.html
http://www.webhelper4u.com/CWS/CWSdropper_exe.html
http://www.webhelper4u.com/CWS/cwshotoffers41105.html
paytime.exe, tool1.exe, init32m.exe + backdoor haxdoor
http://www.webhelper4u.com/CWS/cwswritingsjuly2005/cwsarthurfilipiak_exploits.html
combo.exe, intel32.exe
http://www.webhelper4u.com/CWS/VladZone/cws_vladzoneexploits.html
et peut etre ceux là aussi
install32m.exe
Lgjopdch.dll
msnethlp32.exe
a+
d'accord avec toi pour sysinit32z.exe et taras.exe
je crois que tu connais dejà ces liens
pour C:\WINDOWS\isrvs
http://www.webhelper4u.com/CWS/Research/screenimages/isrvsdesktopsearch.html
pour les CHM Exploit, lol ca va pas etre du gateau
http://www.webhelper4u.com/CWS/CWSdropper_exe_msgs.html
http://www.webhelper4u.com/CWS/CWSdropper_exe.html
http://www.webhelper4u.com/CWS/cwshotoffers41105.html
paytime.exe, tool1.exe, init32m.exe + backdoor haxdoor
http://www.webhelper4u.com/CWS/cwswritingsjuly2005/cwsarthurfilipiak_exploits.html
combo.exe, intel32.exe
http://www.webhelper4u.com/CWS/VladZone/cws_vladzoneexploits.html
et peut etre ceux là aussi
install32m.exe
Lgjopdch.dll
msnethlp32.exe
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ouaip, C'est pas rassurant ceci:
paytime.exe, tool1.exe, init32m.exe + backdoor haxdoor
Bref, l'infection gagne en complexité.
D'un tronc, elle est partie sur de multiples ramifications.
Et la plupart du temps l'origine est due a l'utilisation de cracks.
A bon entendeur...
a+
paytime.exe, tool1.exe, init32m.exe + backdoor haxdoor
Bref, l'infection gagne en complexité.
D'un tronc, elle est partie sur de multiples ramifications.
Et la plupart du temps l'origine est due a l'utilisation de cracks.
A bon entendeur...
a+
oui, mais la 1ere infection du style psguard et autre que j'ai vu remonte dejà à longtemps, c'était pour SlimShield je crois
et ca préfigurait ce genre d'infection, avec déjà tout un tas de modifs dans le registre
http://sandbox.norman.no/live_2.html?logfile=124776
a+
et ca préfigurait ce genre d'infection, avec déjà tout un tas de modifs dans le registre
http://sandbox.norman.no/live_2.html?logfile=124776
a+
lol apparament lier avec des key gen donc pas forcement en rapport smitfraud??
je pense que c est a surveiller si cela se renouvelle sur des log infecter sans crack et keygen qui d ailleurs est une belle sal****ie
je pense que c est a surveiller si cela se renouvelle sur des log infecter sans crack et keygen qui d ailleurs est une belle sal****ie
S/R ou moe
existe t il un moyen avec ligne de commande de rechercher des fichiers comme elitexxx32.exe(x etand des lettres aleatoire)
j est essayer et pas moyen
existe t il un moyen avec ligne de commande de rechercher des fichiers comme elitexxx32.exe(x etand des lettres aleatoire)
j est essayer et pas moyen
Hello
Tu peux essayer de taper la commande:
dir elite???32.exe (??? etant le nombre exact, ici 3, de lettres aléatoires)
dir c:\windows\system32\elite???32.exe pour chercher dans le répertoire c:\windows\system32
Tu peux aussi taper
dir elite*32.exe si tu ne connais pas le nombre de caractères aléatoires.
a+
Tu peux essayer de taper la commande:
dir elite???32.exe (??? etant le nombre exact, ici 3, de lettres aléatoires)
dir c:\windows\system32\elite???32.exe pour chercher dans le répertoire c:\windows\system32
Tu peux aussi taper
dir elite*32.exe si tu ne connais pas le nombre de caractères aléatoires.
a+
salut
pour elite il y a ce bat qui est tres bien et tenu à jour regulierement
http://users.pandora.be/bluepatchy/LQfix.zip
a+
pour elite il y a ce bat qui est tres bien et tenu à jour regulierement
http://users.pandora.be/bluepatchy/LQfix.zip
a+
essaye ca:
@echo off cd %windir%\System32 dir /a elite*32.exe>>%windir%\rapport.txt if not exist elite*32.exe (echo elite*32.exe non Présent !>>%windir%\rapport.txt) notepad %windir%\rapport.txt if exist %windir%\rapport.txt del %windir%\rapport.txt exit
lol sa marche merci j est vraiment du mal avec cest lignes de commandes
je voulais faire cela pour pouvoir faire virer tous les fichiers elite*32 via la kill par bloc note
le fix le fait mais sans pssibiliter de choisir si bon ou mauvais je trouve cela un peu risquer
voila se que moi je faisait
je voulais faire cela pour pouvoir faire virer tous les fichiers elite*32 via la kill par bloc note
le fix le fait mais sans pssibiliter de choisir si bon ou mauvais je trouve cela un peu risquer
voila se que moi je faisait
@echo off cd %windir%\System32 dir /a elite*32.exe>>rapport.txt type rapport.txt if exist %windir%\rapport.txt del %windir%\rapport.txt exit
type rapport.txt <- il me semble que ca affiche le contenu de rapport.txt dans la fenetre de l'invite commande
pour le fix, c'est vrai qu'il y a un risque mais bon... "limité"
si le nombre de caracteres entre elite et 32 est toujours le meme tu peux mettre des ? pour chaques caracteres aleatoires, a la place de "*"
pour le fix, c'est vrai qu'il y a un risque mais bon... "limité"
si le nombre de caracteres entre elite et 32 est toujours le meme tu peux mettre des ? pour chaques caracteres aleatoires, a la place de "*"
oui le risque est limite il y a pas trop de chance que quelqu un est appeler son prog ou fichier ainsi
de toutes facon cela me sert a maitriser les lignes de commande
donc il faut mettre ceci
notepad %windir%\rapport.txt
le windir est obligatoire
de toutes facon cela me sert a maitriser les lignes de commande
donc il faut mettre ceci
notepad %windir%\rapport.txt
le windir est obligatoire
en fait au depart tu decide ou tu veux que soit crée le rapport final
je l'avais mis dans c:\windows
sinon ca doit marcher aussi comme ca:
le rapport se créera dans le dossier ou tu fais ta recherche (mais pas pratique si tu veux rechercher dans plusieurs dossiers, ca oblige à deplacer rapport.txt à chaque fois)
je l'avais mis dans c:\windows
sinon ca doit marcher aussi comme ca:
@echo off cd %windir%\System32 dir /a elite*32.exe>>rapport.txt if not exist elite*32.exe (echo elite*32.exe non Présent>>rapport.txt) notepad rapport.txt if exist rapport.txt del rapport.txt exit
le rapport se créera dans le dossier ou tu fais ta recherche (mais pas pratique si tu veux rechercher dans plusieurs dossiers, ca oblige à deplacer rapport.txt à chaque fois)
Je suis justement en train de faire un nouveau script (en VBS) qui permet de faire une recherche d'un fichier.
- Si le nom du fichier est entré seul, la recherche se fait dans c:, c:\windows et c:\windows\system32. (Le script tient compte des systèmes installé sur un disque C, D... ou d'un OS a base NT ou Win9x)
- Si un chemin complet est donné (c:\windows\log\fichier.exe) la recherche ne se fait que sur ce chemin.
Une fois le fichier trouvé, le script regarde la date et donne les fichiers créés le même jour dans les répertoires: c:, c:\windows et c:\windows\system32
Par soucis de rapidité, le script ne fait pas la recherche sur tout le disque dur.
Quel serait selon vous les chemins a inclure pour la 1ère recherche, puis la recherche des fichiers créés à la même date ?
Thanxx
A+
- Si le nom du fichier est entré seul, la recherche se fait dans c:, c:\windows et c:\windows\system32. (Le script tient compte des systèmes installé sur un disque C, D... ou d'un OS a base NT ou Win9x)
- Si un chemin complet est donné (c:\windows\log\fichier.exe) la recherche ne se fait que sur ce chemin.
Une fois le fichier trouvé, le script regarde la date et donne les fichiers créés le même jour dans les répertoires: c:, c:\windows et c:\windows\system32
Par soucis de rapidité, le script ne fait pas la recherche sur tout le disque dur.
Quel serait selon vous les chemins a inclure pour la 1ère recherche, puis la recherche des fichiers créés à la même date ?
Thanxx
A+
