SmitfraudFix (DesktopHijack, AVGold...)
Fermé
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
-
22 juil. 2005 à 13:45
Nilou17 - 24 déc. 2005 à 13:07
Nilou17 - 24 déc. 2005 à 13:07
411 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
5 août 2005 à 18:31
5 août 2005 à 18:31
salut S/R
pour oleext.dll
ont pourrait inclure ceci pour la desenregistrer
(regsvr32.exe -u oleext.dll )
avant de chercher a la suppr je suis pas sur de la syntaxe
pour oleext.dll
ont pourrait inclure ceci pour la desenregistrer
(regsvr32.exe -u oleext.dll )
avant de chercher a la suppr je suis pas sur de la syntaxe
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
9 août 2005 à 18:29
9 août 2005 à 18:29
Salut
Je tiens à jour le fichier .reg pour nettoyer le registre sur Win9x et Me:
http://siri.urz.free.fr/Fix/SmitFraud_CleanUp.reg
a+
Je tiens à jour le fichier .reg pour nettoyer le registre sur Win9x et Me:
http://siri.urz.free.fr/Fix/SmitFraud_CleanUp.reg
a+
Utilisateur anonyme
9 août 2005 à 18:45
9 août 2005 à 18:45
salut
merci
je ne l'ai pas encore regardé, mais il y a beaucoups de differences avec le reg pour xp ?
a+
merci
je ne l'ai pas encore regardé, mais il y a beaucoups de differences avec le reg pour xp ?
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
9 août 2005 à 19:00
9 août 2005 à 19:00
C'est le même.
Pas de soucis, si les clés n'existent pas, elles ne sont pas supprimées.
Pas de soucis, si les clés n'existent pas, elles ne sont pas supprimées.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
9 août 2005 à 19:27
9 août 2005 à 19:27
ah d'accord, je pensais qu'il y avait un reg special pour 9x, lol
Finalement, qu'est ce qui empeche le fix de tourner sous 9x ?
a+
Finalement, qu'est ce qui empeche le fix de tourner sous 9x ?
a+
Utilisateur anonyme
10 août 2005 à 22:44
10 août 2005 à 22:44
peut etre un nouveau fichier pour spysheriff
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
http://www.commentcamarche.net/forum/affich-1725123-spysheriff-toujours-pr%E9sent-sur-le-PC#2005-08-09%2022%3A46%3A03
a+
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
http://www.commentcamarche.net/forum/affich-1725123-spysheriff-toujours-pr%E9sent-sur-le-PC#2005-08-09%2022%3A46%3A03
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
10 août 2005 à 22:50
10 août 2005 à 22:50
Salut moe,
Ca y ressemble fort en tout cas.
Je note ca et je mettrais a jour demain matin
Bien vu ! Merci
a+
ps:
http://research.sunbelt-software.com/threat_display.cfm?name=Spy%20Sheriff&threatid=40066
Ca y ressemble fort en tout cas.
Je note ca et je mettrais a jour demain matin
Bien vu ! Merci
a+
ps:
http://research.sunbelt-software.com/threat_display.cfm?name=Spy%20Sheriff&threatid=40066
Utilisateur anonyme
10 août 2005 à 22:55
10 août 2005 à 22:55
merci pour le lien, j'avais pas encore fais de recherches.
maintenant c'est confirmé lol
a+
maintenant c'est confirmé lol
a+
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 août 2005 à 09:18
11 août 2005 à 09:18
Salut,
Ici la dernière Mise à jour de sécurité cumulative pour Internet Explorer:
http://www.microsoft.com/technet/security/bulletin/ms05-038.mspx
Avec la dernière version de wininet.dll (6.0.2900.2713 - WinXP SP2) en cas de problème de remplacement avec le fix.
Cette MAJ remplace la précedente Mise à jour de sécurité cumulative pour Internet Explorer:
http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx (Wininet.dll version 6.0.2900.2668 - WinXP SP2)
a+
Ici la dernière Mise à jour de sécurité cumulative pour Internet Explorer:
http://www.microsoft.com/technet/security/bulletin/ms05-038.mspx
Avec la dernière version de wininet.dll (6.0.2900.2713 - WinXP SP2) en cas de problème de remplacement avec le fix.
Cette MAJ remplace la précedente Mise à jour de sécurité cumulative pour Internet Explorer:
http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx (Wininet.dll version 6.0.2900.2668 - WinXP SP2)
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 août 2005 à 15:29
11 août 2005 à 15:29
oki merci
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 août 2005 à 00:35
12 août 2005 à 00:35
a rajouter au fix
C:\WINDOWS\Downloaded Program Files\html.exe
suite a un rapport defender
C:\WINDOWS\Downloaded Program Files\html.exe
suite a un rapport defender
C:\WINDOWS\Downloaded Program Files\html.exe Infected with: Trojan.Downloader.Delf.KS C:\WINDOWS\Downloaded Program Files\html.exe Deleted C:\WINDOWS\system32\hookdump.exe Infected with: Trojan.TopAntiSpyware.N C:\WINDOWS\system32\hookdump.exe Disinfection failed C:\WINDOWS\system32\hookdump.exe Delete failed C:\WINDOWS\system32\svcnt.exe Infected with: Trojan.Downloader.Delf.KS C:\WINDOWS\system32\svcnt.exe Disinfection failed C:\WINDOWS\system32\svcnt.exe Delete failed
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
12 août 2005 à 10:57
12 août 2005 à 10:57
Salut
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\system32\hookdump.exe
sont déja dans la liste
C:\WINDOWS\Downloaded Program Files\html.exe
J'attend de voir d'autres rapport s'il fait bien parti d'une infection de type DeskTopHijack.
J'ai repéré ce genre de clés qui me semblent louches:
F2 - REG:system.ini: Shell=Explorer.exe install32m.exe
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
Je regarde aussi si j'ai plus d'infos avant de les ajouter.
a+
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\system32\hookdump.exe
sont déja dans la liste
C:\WINDOWS\Downloaded Program Files\html.exe
J'attend de voir d'autres rapport s'il fait bien parti d'une infection de type DeskTopHijack.
J'ai repéré ce genre de clés qui me semblent louches:
F2 - REG:system.ini: Shell=Explorer.exe install32m.exe
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
Je regarde aussi si j'ai plus d'infos avant de les ajouter.
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 août 2005 à 11:04
12 août 2005 à 11:04
je t est mis les autres
Trojan.Downloader.Delf.KS
C:\WINDOWS\system32\svcnt.exe C:\WINDOWS\system32\hookdump.exe sont déja dans la listepour te montrer la relation avec le trojan
Trojan.Downloader.Delf.KS
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
12 août 2005 à 11:07
12 août 2005 à 11:07
Merijn (HijackThis) a fait un nouvau programme il y a quelques jours:
Brute Force Uninstaller ( http://www.merijn.org/ )
En gros, ca fonctionne avec des scripts.
Les commandes modifient le registre, effacent des fichiers/dossier, tuent des processus/services, redemarrent le système, vident les repertoires temp... etc...
Ca a l'air pas trop mal. v1.0 la doc est là:
http://www.merijn.org/files/BFU.rtf
Anglais désolé...
va falloir t'y mettre balltrap ;-)
Brute Force Uninstaller ( http://www.merijn.org/ )
En gros, ca fonctionne avec des scripts.
Les commandes modifient le registre, effacent des fichiers/dossier, tuent des processus/services, redemarrent le système, vident les repertoires temp... etc...
Ca a l'air pas trop mal. v1.0 la doc est là:
http://www.merijn.org/files/BFU.rtf
Anglais désolé...
va falloir t'y mettre balltrap ;-)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 août 2005 à 11:10
12 août 2005 à 11:10
lol merci il y a un moment que je n etais pas allez sur son site
je vais voir cela
et pour l anglais je vais me servir de mon traducteur de site
je vais voir cela
et pour l anglais je vais me servir de mon traducteur de site
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 août 2005 à 11:30
12 août 2005 à 11:30
le prog reprend permet de mettre la ligne de commande utile pour virer ou ajouter et autres
mais il faut mettre manuellement chaque lignes pour chaque action
mais il faut mettre manuellement chaque lignes pour chaque action
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
12 août 2005 à 12:09
12 août 2005 à 12:09
non, les commandes sont passées au travers de fichiers (script) .bfu
Il y a des exemples ici:
http://www.merijn.org/files/bfu-kazaabegone.zip
Il y a des exemples ici:
http://www.merijn.org/files/bfu-kazaabegone.zip
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 août 2005 à 12:14
12 août 2005 à 12:14
je doit etre trop fatiguer je pige pas le fonctionnement lol et la je doit partir bosser
si tu peut me donner des details si c est possible c est pas primordial pour moi je repasse se soir ou fin d apres midi
merci
si tu peut me donner des details si c est possible c est pas primordial pour moi je repasse se soir ou fin d apres midi
merci
Utilisateur anonyme
14 août 2005 à 11:21
14 août 2005 à 11:21
salut siri
peut etre un nouveau dossier à rajouter
C:\Documents and Settings\All Users\Application Data\SecTaskMan pour xp
C:\Windows\Application Data\SecTaskMan pour 9x
On retrouve pour certaines infections, ce type de fichiers à l'interieur
intmonp.exe.q_804800_q
intmonp.exe.q_804800_q.old
popuper.exe.q_2CF536D_q
popuper.exe.q_2CF536D_q.old
Mais pas seulement lié à smitfraud, on dirait que ce dossier est utilisé par plusieurs autres parasites (ou pour en dropper d'autres)
Trojan-Clicker
elite
Adware/SBSoft
Win32.Agent.iu
Win32.Agent.ac
Trj/DMeco.A
WORM RBOT
Gator
TrojanDownloader.PurityScan.y
Antivirus-gold
etc ..
http://www.google.fr/search?hl=fr&q=SecTaskMan&btnG=Recherche+Google&meta=
dis moi ce que tu en pense
a+
peut etre un nouveau dossier à rajouter
C:\Documents and Settings\All Users\Application Data\SecTaskMan pour xp
C:\Windows\Application Data\SecTaskMan pour 9x
On retrouve pour certaines infections, ce type de fichiers à l'interieur
intmonp.exe.q_804800_q
intmonp.exe.q_804800_q.old
popuper.exe.q_2CF536D_q
popuper.exe.q_2CF536D_q.old
Mais pas seulement lié à smitfraud, on dirait que ce dossier est utilisé par plusieurs autres parasites (ou pour en dropper d'autres)
Trojan-Clicker
elite
Adware/SBSoft
Win32.Agent.iu
Win32.Agent.ac
Trj/DMeco.A
WORM RBOT
Gator
TrojanDownloader.PurityScan.y
Antivirus-gold
etc ..
http://www.google.fr/search?hl=fr&q=SecTaskMan&btnG=Recherche+Google&meta=
dis moi ce que tu en pense
a+
Utilisateur anonyme
14 août 2005 à 11:49
14 août 2005 à 11:49
et cette entrée pour spysheriff
O4 - HKCU\..\Run: [SNInstall] c:\ntdetecd.exe
ressemble beaucoup à ceci:
http://www.sophos.com/virusinfo/analyses/trojspyhoaxa.html
a+
O4 - HKCU\..\Run: [SNInstall] c:\ntdetecd.exe
ressemble beaucoup à ceci:
http://www.sophos.com/virusinfo/analyses/trojspyhoaxa.html
a+