SmitfraudFix (DesktopHijack, AVGold...)
Fermé
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
-
22 juil. 2005 à 13:45
Nilou17 Messages postés 2349 Date d'inscription samedi 13 août 2005 Statut Modérateur Dernière intervention 3 janvier 2022 - 24 déc. 2005 à 13:07
Nilou17 Messages postés 2349 Date d'inscription samedi 13 août 2005 Statut Modérateur Dernière intervention 3 janvier 2022 - 24 déc. 2005 à 13:07
411 réponses
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
7 nov. 2005 à 07:49
7 nov. 2005 à 07:49
Salut balltrap
Merci pour ta suggestion. HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com est une clé ajoutée lors de l'infection psguard et possède une sous-clé avec une valeur mal forgée qui empèche une suppression classique.
(le même problème que HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD )
Smitfraudfix la supprime depuis la version 1.90. j'en discutais avec moe au post 311 ci-dessus. J'ai oublié de poster le change log de cette version :)
a++
Merci pour ta suggestion. HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com est une clé ajoutée lors de l'infection psguard et possède une sous-clé avec une valeur mal forgée qui empèche une suppression classique.
(le même problème que HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD )
Smitfraudfix la supprime depuis la version 1.90. j'en discutais avec moe au post 311 ci-dessus. J'ai oublié de poster le change log de cette version :)
a++
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
9 nov. 2005 à 01:24
9 nov. 2005 à 01:24
salut
j ai pas pris le temp de regarder desoler je l ai poster comme cela
trouver sur un log
j ai eu des soucis de pc
a++
j ai pas pris le temp de regarder desoler je l ai poster comme cela
trouver sur un log
j ai eu des soucis de pc
a++
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
9 nov. 2005 à 11:06
9 nov. 2005 à 11:06
Salut Balltrap,
Pas de problèmes. Tu confirmes donc la présence de cette clé. Mieux vaut 2x que rien du tout.
Pas trop grave tes soucis avec ton PC (pertes de données) ?
a+
Pas de problèmes. Tu confirmes donc la présence de cette clé. Mieux vaut 2x que rien du tout.
Pas trop grave tes soucis avec ton PC (pertes de données) ?
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
10 nov. 2005 à 23:20
10 nov. 2005 à 23:20
salut
non pas perdu des donner j ai effectuer une reparation windows
se qui ma value de refaire toutes mes mises a jour et reactiver mas progs lol
non pas perdu des donner j ai effectuer une reparation windows
se qui ma value de refaire toutes mes mises a jour et reactiver mas progs lol
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
10 nov. 2005 à 23:25
10 nov. 2005 à 23:25
Tant mieux.
Plus contraignant que grave alors. ;-)
Plus contraignant que grave alors. ;-)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
>
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10 nov. 2005 à 23:27
10 nov. 2005 à 23:27
oui et en plus pas la de la semaine alors la petite famille rale car j ai pas eu le temp de tous refaire et deux ans de prog entre mon fils et ma femme je te laisse imaginer
aranjuez31
Messages postés
8047
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
354
9 nov. 2005 à 11:37
9 nov. 2005 à 11:37
Bjr
J'ai suivi votre long échange, sans toutefois tout comprendre car béotien
Chez moi SmitfraudFix scanné par SpyCatcher & Ewido sont reconnus comme porteurs de malware
Est-ce grave Docteurs ?
J'ai suivi votre long échange, sans toutefois tout comprendre car béotien
Chez moi SmitfraudFix scanné par SpyCatcher & Ewido sont reconnus comme porteurs de malware
Est-ce grave Docteurs ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
9 nov. 2005 à 14:31
9 nov. 2005 à 14:31
Salut,
Il y a un logiciel qui accompagne le pack SmitfraudFix: Process.exe
process.exe est un faux positif.
http://www.beyondlogic.org/solutions/processutil/processutil.htm
C'est un outil qui sert à mettre fin à des applications. Dans ce cas, il sert à terminer les processus infectés exécutés avant leur suppression.
Utilisé par une personne malveillante, il pourrait arrêter une protection (antivirus ou firewall..). C'est pourquoi certains antivirus le classent comme logiciel à risque. Ce n'est en aucun cas un virus.
a+
Il y a un logiciel qui accompagne le pack SmitfraudFix: Process.exe
process.exe est un faux positif.
http://www.beyondlogic.org/solutions/processutil/processutil.htm
C'est un outil qui sert à mettre fin à des applications. Dans ce cas, il sert à terminer les processus infectés exécutés avant leur suppression.
Utilisé par une personne malveillante, il pourrait arrêter une protection (antivirus ou firewall..). C'est pourquoi certains antivirus le classent comme logiciel à risque. Ce n'est en aucun cas un virus.
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
10 nov. 2005 à 23:34
10 nov. 2005 à 23:34
Salut,
SmitfraudFix Version 1.93
%windir%\adsldpbd.dll
%system%\multitran.exe
%system%\performent217.dll
%system%\qvxgamet?.exe
%system%\nuclabdll.dll
%system%\st3.dll
%system%\svwhost.exe
%system%\zolker011.dll
C:\Documents and Settings\All Users\Bureau\Blowjob.url
C:\Documents and Settings\All Users\Bureau\Cigarettes Discount.url
C:\Documents and Settings\All Users\Bureau\Forex Trading.url
C:\Documents and Settings\All Users\Bureau\Free Ringtones.url
C:\Documents and Settings\All Users\Bureau\Gift Ideas.url
C:\Documents and Settings\All Users\Bureau\Group Sex.url
C:\Documents and Settings\All Users\Bureau\Home Loan.url
C:\Documents and Settings\All Users\Bureau\Mp3 Download.url
C:\Documents and Settings\All Users\Bureau\Online Casino.url
C:\Documents and Settings\All Users\Bureau\Online Dating.url
C:\Documents and Settings\All Users\Bureau\Play Poker.url
C:\Documents and Settings\All Users\Bureau\PopUp Blocker.url
C:\Documents and Settings\All Users\Bureau\Porn Dvd.url
C:\Documents and Settings\All Users\Bureau\Real Estate.url
C:\Documents and Settings\All Users\Bureau\Sport Betting.url
C:\Documents and Settings\All Users\Bureau\Spyware Remover.url
C:\Documents and Settings\All Users\Bureau\Texas Holdem.url
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exe
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll
O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll
O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dll
O4 - HKLM\..\Run: [multitran]
O4 - HKLM\..\RunServices: [multitran]
O4 - HKLM\..\Run: [WindowsUpdateNT]
O4 - HKCU\..\Run: [multitran]
O4 - HKCU\..\Run: [WindowsUpdateNT]
O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
J'ai intégré les fichiers suivant au fix bien que j'ai eu du mal à les supprimer lors de mes tests. Ces dll sont chargées très tôt en mémoire (idem en mode sans echec). Pour désinfecter correctement le système, j'ai du m'y prendre plusieurs fois de suite avec killbox (avec l'option delete on reboot).
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
a+
SmitfraudFix Version 1.93
%windir%\adsldpbd.dll
%system%\multitran.exe
%system%\performent217.dll
%system%\qvxgamet?.exe
%system%\nuclabdll.dll
%system%\st3.dll
%system%\svwhost.exe
%system%\zolker011.dll
C:\Documents and Settings\All Users\Bureau\Blowjob.url
C:\Documents and Settings\All Users\Bureau\Cigarettes Discount.url
C:\Documents and Settings\All Users\Bureau\Forex Trading.url
C:\Documents and Settings\All Users\Bureau\Free Ringtones.url
C:\Documents and Settings\All Users\Bureau\Gift Ideas.url
C:\Documents and Settings\All Users\Bureau\Group Sex.url
C:\Documents and Settings\All Users\Bureau\Home Loan.url
C:\Documents and Settings\All Users\Bureau\Mp3 Download.url
C:\Documents and Settings\All Users\Bureau\Online Casino.url
C:\Documents and Settings\All Users\Bureau\Online Dating.url
C:\Documents and Settings\All Users\Bureau\Play Poker.url
C:\Documents and Settings\All Users\Bureau\PopUp Blocker.url
C:\Documents and Settings\All Users\Bureau\Porn Dvd.url
C:\Documents and Settings\All Users\Bureau\Real Estate.url
C:\Documents and Settings\All Users\Bureau\Sport Betting.url
C:\Documents and Settings\All Users\Bureau\Spyware Remover.url
C:\Documents and Settings\All Users\Bureau\Texas Holdem.url
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exe
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll
O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll
O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dll
O4 - HKLM\..\Run: [multitran]
O4 - HKLM\..\RunServices: [multitran]
O4 - HKLM\..\Run: [WindowsUpdateNT]
O4 - HKCU\..\Run: [multitran]
O4 - HKCU\..\Run: [WindowsUpdateNT]
O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
J'ai intégré les fichiers suivant au fix bien que j'ai eu du mal à les supprimer lors de mes tests. Ces dll sont chargées très tôt en mémoire (idem en mode sans echec). Pour désinfecter correctement le système, j'ai du m'y prendre plusieurs fois de suite avec killbox (avec l'option delete on reboot).
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\SYSTEM32\nuclabdll.dll
C:\WINDOWS\system32\st3.dll
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
10 nov. 2005 à 23:46
10 nov. 2005 à 23:46
sur ton serveur tu ne la pas mis a jour cela en est a la 1.92
pour les dll pense tu que se genre de commande pourrait la desenregistrer pour faciliter la suppression dans le fix
regsvr32.exe -u C:\WINDOWS\adsldpbd.dll
pour les dll pense tu que se genre de commande pourrait la desenregistrer pour faciliter la suppression dans le fix
regsvr32.exe -u C:\WINDOWS\adsldpbd.dll
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 nov. 2005 à 17:10
11 nov. 2005 à 17:10
Salut Balltrap,
Je viens de vérifier, c'est bien la version 1.93 sur le serveur. (???)
Cela ne sert à rien de decharger ces dll avec regsvr32.exe -u car elles ne sont pas chargées de cette facon. (J'ai quand même fait le test histoire de vérifier ;-) ).
Merci
a++
Je viens de vérifier, c'est bien la version 1.93 sur le serveur. (???)
Cela ne sert à rien de decharger ces dll avec regsvr32.exe -u car elles ne sont pas chargées de cette facon. (J'ai quand même fait le test histoire de vérifier ;-) ).
Merci
a++
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 nov. 2005 à 17:12
11 nov. 2005 à 17:12
oui lol j ai tester sur un log infecter et que le fix n arrive pas a virer et cela ne marche pas lol il fallait le tenter lol
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 nov. 2005 à 17:16
11 nov. 2005 à 17:16
lol mon lien doit etre mauvais
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
quand je regarde le fix(via modifier)c est la version 1.92 qui est marquer
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
quand je regarde le fix(via modifier)c est la version 1.92 qui est marquer
Nilou17
Messages postés
2349
Date d'inscription
samedi 13 août 2005
Statut
Modérateur
Dernière intervention
3 janvier 2022
1 478
11 nov. 2005 à 17:37
11 nov. 2005 à 17:37
Salut Balltrap !!!
No souci pour moi. J'ai cliqué sur le lien et j'ai téléchargé la 1.93.
Je tenais à dire que c'est un excellent travail !
Je tire un GRAND coup de chapeau à S!ri et à vous tous !!!
Fé-li-ci-ta-tions et bonne continuation !!!
A+++++++
No souci pour moi. J'ai cliqué sur le lien et j'ai téléchargé la 1.93.
Je tenais à dire que c'est un excellent travail !
Je tire un GRAND coup de chapeau à S!ri et à vous tous !!!
Fé-li-ci-ta-tions et bonne continuation !!!
A+++++++
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 nov. 2005 à 17:42
11 nov. 2005 à 17:42
Un problème de cache peut être. (??)
Salut Nilou17. Merci de ton soutien
a+
Salut Nilou17. Merci de ton soutien
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 nov. 2005 à 17:53
11 nov. 2005 à 17:53
bizzard j ai vider mon cache et c est pareil
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
13 nov. 2005 à 00:25
13 nov. 2005 à 00:25
salut S!Ri et les autres
je t ai mis la meme chose sur la section espace securite de zebulon
regarde ceci a rajouter a smitfraud cela correspond au probleme du fichier svchosts.dll
que le fix ne peut pas virer
http://securityresponse.symantec.com/avcenter/venc/data/adware.topav.html
je t ai mis la meme chose sur la section espace securite de zebulon
regarde ceci a rajouter a smitfraud cela correspond au probleme du fichier svchosts.dll
que le fix ne peut pas virer
http://securityresponse.symantec.com/avcenter/venc/data/adware.topav.html
Noss
Messages postés
249
Date d'inscription
dimanche 13 novembre 2005
Statut
Membre
Dernière intervention
8 novembre 2009
5
13 nov. 2005 à 21:16
13 nov. 2005 à 21:16
Salut Balltrap !
Bien je vois que ça t'a servi ! Bonne continuation !
Bien je vois que ça t'a servi ! Bonne continuation !
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
13 nov. 2005 à 21:21
13 nov. 2005 à 21:21
oui merci noos
le probleme c est que mon ami S!Ri est tres occupper et il n est pas passer voir ces posts
a++
le probleme c est que mon ami S!Ri est tres occupper et il n est pas passer voir ces posts
a++
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
14 nov. 2005 à 07:46
14 nov. 2005 à 07:46
Salut Balltrap !
Ce week-end était un peu chargé. ;-)
Merci pour le lien, j'ai ajouté les fichiers cités et les clés dans la nouvelle version du fix.
Version 1.94
%HOMEDRIVE%\secure32.html
%system%\svchosts.exe
%system%\shdocsvc.dll
%system%\shdocsvc.exe
%system%\ztoolb011.dll
O4 - HKLM\..\Run: [FHStart]
a++
Ce week-end était un peu chargé. ;-)
Merci pour le lien, j'ai ajouté les fichiers cités et les clés dans la nouvelle version du fix.
Version 1.94
%HOMEDRIVE%\secure32.html
%system%\svchosts.exe
%system%\shdocsvc.dll
%system%\shdocsvc.exe
%system%\ztoolb011.dll
O4 - HKLM\..\Run: [FHStart]
a++
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
14 nov. 2005 à 10:14
14 nov. 2005 à 10:14
salutS!Ri
oki c est impec
si tu as besoin moe a mon email tu peut lui demander sans probleme
oki c est impec
si tu as besoin moe a mon email tu peut lui demander sans probleme
Noss
Messages postés
249
Date d'inscription
dimanche 13 novembre 2005
Statut
Membre
Dernière intervention
8 novembre 2009
5
15 nov. 2005 à 00:39
15 nov. 2005 à 00:39
Bonjour, bravo et merci pour votre travail collectif. Je vais essayer de vous aider également en vous faisant part de mes expériences lors de l'utilisation de smitfraudfix.
Nouvel échec de suppression de svchosts.dll avec la version 1.94 :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/your_computer_is_infectedtenace-394282/messages-1.html
J'attends le rapport de CounterSpy qui arrive à le supprimer. Je vais parallèlement essayer de voir s'ils ont un forum pour leur demander.
De plus, certains fichiers détéctés par la version 1.93 ne semblent pas avoir été détéctés par la version 1.94. Je ne sais pas si c'est normal (voir le lien).
A+ !
Nouvel échec de suppression de svchosts.dll avec la version 1.94 :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/your_computer_is_infectedtenace-394282/messages-1.html
J'attends le rapport de CounterSpy qui arrive à le supprimer. Je vais parallèlement essayer de voir s'ils ont un forum pour leur demander.
De plus, certains fichiers détéctés par la version 1.93 ne semblent pas avoir été détéctés par la version 1.94. Je ne sais pas si c'est normal (voir le lien).
A+ !
Noss
Messages postés
249
Date d'inscription
dimanche 13 novembre 2005
Statut
Membre
Dernière intervention
8 novembre 2009
5
15 nov. 2005 à 02:26
15 nov. 2005 à 02:26
Un autre lien sur svchosts ici : http://www.2-spyware.com/remove-topav.html
Mais apparemment, pas plus d'infos que sur le précédent.
Mais apparemment, pas plus d'infos que sur le précédent.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
15 nov. 2005 à 07:13
15 nov. 2005 à 07:13
Salut Noss
Merci pour ta contribution.
Il semblerait que la personne infectée au lien que tu donnes ait utilisé le nettoyage une première fois sans poster le rapport.
Dans la nouvelle version du fix (v1.95) le fichier svchosts.dll est supprimé différement. (A tester).
Demande toujours un rapport HijackThis lors de l'utilisation de SmitfraudFix car l'infection est souvent accompagnée d'autres malware qui ne sont pas intégrés au script.
a+
Merci pour ta contribution.
Il semblerait que la personne infectée au lien que tu donnes ait utilisé le nettoyage une première fois sans poster le rapport.
Dans la nouvelle version du fix (v1.95) le fichier svchosts.dll est supprimé différement. (A tester).
Demande toujours un rapport HijackThis lors de l'utilisation de SmitfraudFix car l'infection est souvent accompagnée d'autres malware qui ne sont pas intégrés au script.
a+
