SmitfraudFix (DesktopHijack, AVGold...)

Fermé

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 - 22 juil. 2005 à 13:45
Nilou17 - 24 déc. 2005 à 13:07

Salut,

On sera mieux ici pour discuter du projet SmitfraudFix plutôt que de squater les posts des utilisateurs qui ont un problème.

a+

411 réponses

Réponse 41 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 14:02

salut
c est sur assiste
mais en mp

Réponse 42 / 411

Utilisateur anonyme
25 juil. 2005 à 14:13

j'aurais parié, j'aurais gagné lol

Réponse 43 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 14:16

et si je te dit de qui
lol devine

Réponse 44 / 411

Utilisateur anonyme
25 juil. 2005 à 14:20

je connait pas les membres d'assiste, mais j'ai noté la présence de vazkor sur les posts smitfraud il y a quelques jours.
C'est quand meme bien qu'il l'ai signalé ;-) pour l'amelioration du fix.
J'ai cru comprendre que c'est tendu entre vous...

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 14:29

c est lui
cela a ete tendu maintenant c est bon
mais sur assite ils sont tres tres conservateur ont vas dire
a part pierre terdef tres sympa

Réponse 46 / 411

Utilisateur anonyme
25 juil. 2005 à 14:37

oui, il était passé sur le forum, chercher des infos au moment ou il préparait son topic sur smitfraud.
Et je le remercie pour son site, car c'est une mine d'infos et meme si c'est difficile de tenir à jours une base de données aussi volumineuse, j'ai pas encore vu l'équivalent.

Réponse 47 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 14:39

oui vraiment un super boulot

Réponse 48 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 14:54

Hello

c'est sympa d'avoir signalé le problème.
Ce site est une mine d'info. (LA référence francaise).
Le fix est en ligne:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Les modifications:
- Ajout de process.exe dans le zip et son utilisation à la place de tskill.exe
- Vérification des fichiers crées le même jour que intell32.exe.
(j'ai pris celui là pour la date de référence. on verra bien ce qu'il en ressort).

a+

Réponse 49 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 15:26

si tu as le temp j est pas compris la mise en place du process.exe
ou tu la pris

Réponse 50 / 411

Utilisateur anonyme
25 juil. 2005 à 15:34

salut siri

un % en trop ici, il me semble:
if exist svchost.exe (echo %windir%\system\svchost.exe PRESENT!>>rapport2.txt)
popd
if exist %windir%\system\rapport2.txt move %%windir%\system\rapport2.txt rapport2.txt

pour la partie Explorer.exe, kernels32.exe, c'est normal qu'au début de cleanup.reg il n'y ai pas REGEDIT4 ?

Pour process je crois qu'il à du le prendre ici:
http://www.beyondlogic.org/solutions/processutil/processutil.htm
y a pas de copyright, contrairement à taskill de chez crosoft

a+

Réponse 51 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 15:35

re'

Je me suis basé sur l2mfix ;-)
Je teste s'il est dispo au coté de smitfraudfix.cmd
s'il l'est, je le copie dans %system% (si il n'y est pas déja).
Au moment de quitter le batch, je le supprime.

J'aurais pu le laisser dans le même repertoire que smitfraudfix.cmd, mais je ne sais pas comment le fix va évoluer Je préfère qu'il soit accessible depuis n'importe quel répertoire. De toute facon, à la fin il ne reste plus de traces.

Réponse 52 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 15:48

re'

Merci de corriger derrière moi !
Je modifie ca de suite :-p

Pour la partie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon qui correspond à:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
dans HijackThis, effectivement, c'est normal qu'il n'y ait pas de REGEDIT4, car je l'intègre dans un fichier cleanup.reg unique. Et seulement si cette clé a été modifiée.
Je viens de me relire en cas d'erreur de ma part, et c'est bon.

Réponse 53 / 411

Utilisateur anonyme
25 juil. 2005 à 15:53

ok, je savais pas
mais j'ai préféré te demander ;-)

Réponse 54 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 15:56

moe c est pas des yeus qu il a c est des lasers

Réponse 55 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 15:57

Tu as raison, ca me permet aussi de relire encore 1x le code...
:-D

Réponse 56 / 411

Utilisateur anonyme
25 juil. 2005 à 16:02

lol à force tu dois le connaitre par coeur..

Réponse 57 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 16:04

lol
oui
Et je relis mes fautes comme tu vois ;-)

Réponse 58 / 411

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 juil. 2005 à 16:04

il devient complex

Réponse 59 / 411

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
25 juil. 2005 à 16:12

il y a 2-3 parties assez tordues dedans, mais le principal c'est quand même de la répétition: if exist blabla delete...
Là où ca va commencer a devenir ardu c'est si l'infection devient encore plus complexe. Il sera plus facile (aussi bien pour des raison de compatibilité win9x - win2000 que pour tester les cles du registre) de le refaire en binaire.
Mais a ce moment là, impossible pour n'importe qui de relire le code et de savoir a quoi le fix touche exactement dans le registre ou fait sur le disque dur...

Réponse 60 / 411

Utilisateur anonyme
25 juil. 2005 à 16:19

c'est ce qui a été fait pour le prog pfind new de chez bleeping, ils en ont fait un exe, il commencait à y avoir beaucoup trop de prog dans le zip, devenu winpfind.exe maintenant.

J'essaye de faire quelque bat (tout simples), pour apprendre un peu les commandes et c'est vrai que c'est pas facile de ne pas faire d'erreurs, meme en relisant ca ne saute pas forcement aux yeux...

J'ai eu entre les mains il n'y a pas longtemp, un amstrad cpc 464 lol (ca date pas d'aujourd'hui !!), et je trouve qu'il y a beaucoups de similitudes dans la facon de faire avec le basic et les commandes pour un bat ou cmd.
On retrouve meme quelques commandes identiques...

a+

Discussions similaires

SmitfraudFix

analyse SmitfraudFix accés refusé

Discussions similaires

Newsletters