SmitfraudFix (DesktopHijack, AVGold...)
Fermé
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
-
22 juil. 2005 à 13:45
Nilou17 - 24 déc. 2005 à 13:07
Nilou17 - 24 déc. 2005 à 13:07
411 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 14:02
25 juil. 2005 à 14:02
salut
c est sur assiste
mais en mp
c est sur assiste
mais en mp
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 14:16
25 juil. 2005 à 14:16
et si je te dit de qui
lol devine
lol devine
Utilisateur anonyme
25 juil. 2005 à 14:20
25 juil. 2005 à 14:20
je connait pas les membres d'assiste, mais j'ai noté la présence de vazkor sur les posts smitfraud il y a quelques jours.
C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.
J'ai cru comprendre que c'est tendu entre vous...
C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.
J'ai cru comprendre que c'est tendu entre vous...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 14:29
25 juil. 2005 à 14:29
c est lui
cela a ete tendu maintenant c est bon
mais sur assite ils sont tres tres conservateur ont vas dire
a part pierre terdef tres sympa
cela a ete tendu maintenant c est bon
mais sur assite ils sont tres tres conservateur ont vas dire
a part pierre terdef tres sympa
Utilisateur anonyme
25 juil. 2005 à 14:37
25 juil. 2005 à 14:37
oui, il était passé sur le forum, chercher des infos au moment ou il préparait son topic sur smitfraud.
Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.
Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 14:39
25 juil. 2005 à 14:39
oui vraiment un super boulot
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 14:54
25 juil. 2005 à 14:54
Hello
c'est sympa d'avoir signalé le problème.
Ce site est une mine d'info. (LA référence francaise).
Le fix est en ligne:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Les modifications:
- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe
- Vérification des fichiers crées le même jour que intell32.exe.
(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).
a+
c'est sympa d'avoir signalé le problème.
Ce site est une mine d'info. (LA référence francaise).
Le fix est en ligne:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Les modifications:
- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe
- Vérification des fichiers crées le même jour que intell32.exe.
(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 15:26
25 juil. 2005 à 15:26
si tu as le temp j est pas compris la mise en place du process.exe
ou tu la pris
ou tu la pris
Utilisateur anonyme
25 juil. 2005 à 15:34
25 juil. 2005 à 15:34
salut siri
un % en trop ici, il me semble:
if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt)
popd
if exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txt
pour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?
Pour process je crois qu'il à du le prendre ici:
http://www.beyondlogic.org/solutions/processutil/processutil.htm
y a pas de copyright, contrairement à taskill de chez crosoft
a+
un % en trop ici, il me semble:
if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt)
popd
if exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txt
pour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?
Pour process je crois qu'il à du le prendre ici:
http://www.beyondlogic.org/solutions/processutil/processutil.htm
y a pas de copyright, contrairement à taskill de chez crosoft
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 15:35
25 juil. 2005 à 15:35
re'
Je me suis basé sur l2mfix ;-)
Je teste s'il est dispo au coté de smitfraudfix.cmd
s'il l'est, je le copie dans %system% (si il n'y est pas déja).
Au moment de quitter le batch, je le supprime.
J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.
Je me suis basé sur l2mfix ;-)
Je teste s'il est dispo au coté de smitfraudfix.cmd
s'il l'est, je le copie dans %system% (si il n'y est pas déja).
Au moment de quitter le batch, je le supprime.
J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 15:48
25 juil. 2005 à 15:48
re'
Merci de corriger derrière moi !
Je modifie ca de suite :-p
Pour la partie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
dans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.
Je viens de me relire en cas d'erreur de ma part, et c'est bon.
Merci de corriger derrière moi !
Je modifie ca de suite :-p
Pour la partie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
dans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.
Je viens de me relire en cas d'erreur de ma part, et c'est bon.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 15:56
25 juil. 2005 à 15:56
moe c est pas des yeus qu il a c est des lasers
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 15:57
25 juil. 2005 à 15:57
Tu as raison, ca me permet aussi de relire encore 1x le code...
:-D
:-D
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 16:04
25 juil. 2005 à 16:04
lol
oui
Et je relis mes fautes comme tu vois ;-)
oui
Et je relis mes fautes comme tu vois ;-)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
25 juil. 2005 à 16:04
25 juil. 2005 à 16:04
il devient complex
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
25 juil. 2005 à 16:12
25 juil. 2005 à 16:12
il y a 2-3 parties assez tordues dedans, mais le principal c'est quand même de la répétition: if exist blabla delete...
Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.
Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...
Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.
Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...
Utilisateur anonyme
25 juil. 2005 à 16:19
25 juil. 2005 à 16:19
c'est ce qui a été fait pour le prog pfind new de chez bleeping, ils en ont fait un exe, il commencait à y avoir beaucoup trop de prog dans le zip, devenu winpfind.exe maintenant.
J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...
J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.
On retrouve meme quelques commandes identiques...
a+
J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...
J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.
On retrouve meme quelques commandes identiques...
a+