SmitfraudFix (DesktopHijack, AVGold...)
Fermé
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
-
22 juil. 2005 à 13:45
Nilou17 - 24 déc. 2005 à 13:07
Nilou17 - 24 déc. 2005 à 13:07
411 réponses
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
27 juil. 2005 à 16:13
27 juil. 2005 à 16:13
J'ai vu ca dans le log.
c'est bon.
c'est bon.
Utilisateur anonyme
27 juil. 2005 à 16:18
27 juil. 2005 à 16:18
il manque aussi la detection oleext pour l'option 1
:wininetscan
:wininetscan
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
27 juil. 2005 à 16:21
27 juil. 2005 à 16:21
voila ce qe c'est que de faire plusieurs choses en même temps.
Le boulo, le forum, le fix...
j'vais me prendre un café et me mettre au calme 5mn
Le boulo, le forum, le fix...
j'vais me prendre un café et me mettre au calme 5mn
Utilisateur anonyme
27 juil. 2005 à 16:23
27 juil. 2005 à 16:23
lol
j'allais faire la meme chose (un pt'it café au calme)
a+
j'allais faire la meme chose (un pt'it café au calme)
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
31 juil. 2005 à 20:30
31 juil. 2005 à 20:30
Salut,
J'ai remarqué qu' Avgold ( et certainement les autres variantes) modifie les zones et domaines de confiance.
Vous pouvez me confirmer mes soupcons ?
a+
J'ai remarqué qu' Avgold ( et certainement les autres variantes) modifie les zones et domaines de confiance.
Vous pouvez me confirmer mes soupcons ?
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
31 juil. 2005 à 20:33
31 juil. 2005 à 20:33
salut
ont vas verifier et si cela se confirme je te le dit
ont vas verifier et si cela se confirme je te le dit
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
31 juil. 2005 à 20:37
31 juil. 2005 à 20:37
Hello Balltrap
Merci.
Dans ce cas je modifie le fix pour corriger quelques clés du registre et il n'y aura pas besoin d'utiliser: http://www.mvps.org/winhelp2002/DelDomains.inf
vu ici par Spybot:
http://forum.zebulon.fr/index.php?showtopic=70549&pid=544582&st=15
a+
Merci.
Dans ce cas je modifie le fix pour corriger quelques clés du registre et il n'y aura pas besoin d'utiliser: http://www.mvps.org/winhelp2002/DelDomains.inf
vu ici par Spybot:
http://forum.zebulon.fr/index.php?showtopic=70549&pid=544582&st=15
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
31 juil. 2005 à 20:53
31 juil. 2005 à 20:53
tu veut rajouter les clef de deldomains?
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
31 juil. 2005 à 22:49
31 juil. 2005 à 22:49
re'
Pas de suite, j'attend de voir si d'autres versions de l'infection modifient les clés des domaines de confiance.
a+
Pas de suite, j'attend de voir si d'autres versions de l'infection modifient les clés des domaines de confiance.
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
31 juil. 2005 à 22:55
31 juil. 2005 à 22:55
oki
mais je vais pas pouvoir te donner des renseignement d ici le week end fini les vacances demain je reprend le 40 tonnes lol
mais je vais pas pouvoir te donner des renseignement d ici le week end fini les vacances demain je reprend le 40 tonnes lol
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
1 août 2005 à 07:07
1 août 2005 à 07:07
re'
Bon courage et bonne route alors.
A bientôt
Bon courage et bonne route alors.
A bientôt
Utilisateur anonyme
1 août 2005 à 17:28
1 août 2005 à 17:28
salut siri
J'aurais besoin de tes lumieres...
Dans win 98
est ce que la variable %USERPROFILE%
correspond bien à:
C:\WINDOWS\PROFILES\nom du compte
est ce que la variable %ALLUSERSPROFILE%
correspond bien à:
C:\WINDOWS\All Users
est ce que le chemin et le meme que pour xp, pour les taches planifiées:
C:\WINDOWS\Tasks
et au passage une nouvelle entrée dans le registre pour C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
je ne l'ai vu qu'une seule fois pour l'instant
a+
J'aurais besoin de tes lumieres...
Dans win 98
est ce que la variable %USERPROFILE%
correspond bien à:
C:\WINDOWS\PROFILES\nom du compte
est ce que la variable %ALLUSERSPROFILE%
correspond bien à:
C:\WINDOWS\All Users
est ce que le chemin et le meme que pour xp, pour les taches planifiées:
C:\WINDOWS\Tasks
et au passage une nouvelle entrée dans le registre pour C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
je ne l'ai vu qu'une seule fois pour l'instant
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
1 août 2005 à 17:33
1 août 2005 à 17:33
il me semble l avoir vu aussi
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
1 août 2005 à 18:00
1 août 2005 à 18:00
salut
Je ne pense pas que ces variables existent sous Win98.
Pour tasks j'avoue ne pas savoir...
Je me suis trouvé une machine avec Win98, mais là je n'ai pas le temps de la brancher. Je te dirais ca demain.
J'ai modifié le fix. toujours en version 1.3, mais avec la clé:
O4 - HKCU\..\Run: [SNInstall] à supprimer.
Merci :-)
a+
Je ne pense pas que ces variables existent sous Win98.
Pour tasks j'avoue ne pas savoir...
Je me suis trouvé une machine avec Win98, mais là je n'ai pas le temps de la brancher. Je te dirais ca demain.
J'ai modifié le fix. toujours en version 1.3, mais avec la clé:
O4 - HKCU\..\Run: [SNInstall] à supprimer.
Merci :-)
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
2 août 2005 à 11:06
2 août 2005 à 11:06
Salut
Moe,
le rep C:\WINDOWS\Tasks\ est bien le même sous win98.
Pour les variables, comme je te l'avais dis plus haut, elles n'existent pas.
Concernant le fix,
J'ai ajouté le répertoire Daily Weather Forecast à supprimer, ainsi que les clés qui vont avec (run et uninstall).
On s'était déja posé la question avec Moe. Ce programme était souvant présent dans les logs.
http://www.commentcamarche.net/forum/affich-1668546-probl%E8me-avec-spysheriff?CCMSESSID=e4622dacf6a50e4d398092b9bdc7d3e0#24
http://www.sophos.com/virusinfo/analyses/trojdloaderip.html
http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html
a+
Moe,
le rep C:\WINDOWS\Tasks\ est bien le même sous win98.
Pour les variables, comme je te l'avais dis plus haut, elles n'existent pas.
Concernant le fix,
J'ai ajouté le répertoire Daily Weather Forecast à supprimer, ainsi que les clés qui vont avec (run et uninstall).
On s'était déja posé la question avec Moe. Ce programme était souvant présent dans les logs.
http://www.commentcamarche.net/forum/affich-1668546-probl%E8me-avec-spysheriff?CCMSESSID=e4622dacf6a50e4d398092b9bdc7d3e0#24
http://www.sophos.com/virusinfo/analyses/trojdloaderip.html
http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html
a+
Utilisateur anonyme
2 août 2005 à 14:09
2 août 2005 à 14:09
salut s!ri
merci d'avoir précisé
pour Daily Weather Forecast, on commence à le voir apparaitre dans quelques logs, bien vu.
a+
merci d'avoir précisé
pour Daily Weather Forecast, on commence à le voir apparaitre dans quelques logs, bien vu.
a+
Utilisateur anonyme
2 août 2005 à 19:31
2 août 2005 à 19:31
re
apparement un probleme de suppression du fichier oleext.dll quand wininet et infectée.
Je crois que ca viens de la seconde passe (fixclean.cmd), oleadm.dll est supprimée mais pas oleext.dll.
a+
apparement un probleme de suppression du fichier oleext.dll quand wininet et infectée.
Je crois que ca viens de la seconde passe (fixclean.cmd), oleadm.dll est supprimée mais pas oleext.dll.
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
2 août 2005 à 22:26
2 août 2005 à 22:26
salut,
J'ai ajouté à fixclean.cmd les commandes pour supprimer oleext.dll
thanxx
Je suis en train de chercher un peu plus de renseignements sur celui là:
http://www.sophos.com/virusinfo/analyses/trojdloadergl.html
Qui concerne les fichiers vxh8jkdq5.exe, vxh8jkdq?.exe ... et le DisableTaskMgr mis à 1 dans les policies...
a+
J'ai ajouté à fixclean.cmd les commandes pour supprimer oleext.dll
thanxx
Je suis en train de chercher un peu plus de renseignements sur celui là:
http://www.sophos.com/virusinfo/analyses/trojdloadergl.html
Qui concerne les fichiers vxh8jkdq5.exe, vxh8jkdq?.exe ... et le DisableTaskMgr mis à 1 dans les policies...
a+
Utilisateur anonyme
2 août 2005 à 22:39
2 août 2005 à 22:39
salut siri
oui, ca serait bien de le rajouter
sinon, pour la recherche de fichiers crées en meme temps qu'intell32, j'ai remarqué que dans les cas oleext.dll+intell32 il y a souvent un fichier du type q1580001_disk.dll crée au meme moment.
a+
oui, ca serait bien de le rajouter
sinon, pour la recherche de fichiers crées en meme temps qu'intell32, j'ai remarqué que dans les cas oleext.dll+intell32 il y a souvent un fichier du type q1580001_disk.dll crée au meme moment.
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
2 août 2005 à 22:48
2 août 2005 à 22:48
re'
Oui, je note ca dans mes petits papiers.
Ce fichier q1580001_disk.dll avec une serie de chiffre aléatoire bloque le demarrage de windows 98 en faisant une erreur ole32.dll (même en mode sans echec. Il faut redemarrer en mode console pour le supprimer).
a+
Oui, je note ca dans mes petits papiers.
Ce fichier q1580001_disk.dll avec une serie de chiffre aléatoire bloque le demarrage de windows 98 en faisant une erreur ole32.dll (même en mode sans echec. Il faut redemarrer en mode console pour le supprimer).
a+