Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

degats dans affichage du à un troyen

lagoon

Par lagoon
dans Analyses et éradication malwares

 Partager

Messages recommandés

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour tesgaz, ipl, lagoon, bonjour à tous,

 

Bonjour tesgaz, queruak , lagoon, bonjour à tous,

 

Merci de bosser sur ce problème ! :P

489408[/snapback]

 

Merci ipl,

 

Je poste en fait,juste pour vous dire que j'ai considérablement avancé dans mes recherches,j'ai pu glaner quelques informations,mais cela n'a pas été facile

-Le nom du trojan,

-Les modifications qu'il apporte dans le registre,

-Les fichiers néfastes qu'il ajoute,

Comment s'en débarasser(en construction)

-Les outils à utiliser

-Les manipulations dans le registre

 

Je crois que ça avance !

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Bonsoir à tous,

 

Voila ou j'en suis:

 

-Le coupable- trojan-spy.html.smitfraud.c

Ce trojan est connu sous l'alias phish.Bankfraud.end.a chez Kasperski

Trojan.Bankfraud ->Doctor Web

HTML.Phishing.Bank-1-->ClavAV

HTML/Smithfraud.gen->Esef

 

-Manifestations-

 

.Installe des spywares de "free pharmacy", "free casino",

.Installe un faux utilitaire de sécurité "IGuard".

.Crée les fichiers suivants:

C:\wp.bmp

C:\wp.exe.

.Crée un dossier dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

.Ajoute les valeurs "1" à" NoDispBackgroundPage" et à "NoDispAppearancePage". Runs a process, wp.exe, which (I think) contains a keylogger.

.Bloque les liens ou carrement Internet explorer.

 

.Modifie le fond d'ecran en C:\wp.bmp, avec le méssage suivant qui s'affiche:

"a fatal error in IE has occured at 0028:c0011e36 in WXD VMM<01>+0001E36. error was caused by trojan-spy.html.smitfraud.c

system can not function in normal mode.

please our secutity settings.

scan your PC with any avaliable antivirus / spyware remover program to fix the problem"

.Aucune possibilté de changer ou de supprimer le fond d'ecran.

.Redirections vers d'autres pages,

 

Je crois que j'ai la le maximum d'informations au sujet de ce trojan.

Dans mon prochain méssage,j'indiquerais les outils à utiliser pour son éradication.

 

-Les outils-

 

Ad-awareSE Bien mis à jour

http://www.lavasoft.de/support/download/#free

 

SpyBot-Search & Destroy

http://spybot.safer-networking.de/fr/download/index.html

 

CWShredder

http://cwshredder.net/bin/CWShredder.exe

 

Lopremover

http://www.thespykiller.co.uk/files/lopremover.exe

 

DelDomains INF

http://www.mvps.org/winhelp2002/DelDomains.inf

http://www.mvps.org/winhelp2002/restricted.htm

 

Pocket KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

Silent Runners VBS

http://www.silentrunners.org/sr_download.html

 

Au prochain méssage,je donnerais la procedure de désinfection.

Modifié par queruak
queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour à tous,

 

Voici la procedure pour la désinfection:

 

-A-Télécharger les outils sus cités.

NB/

Mettre Silent Runners VBS dans un repertoire dédié.

Si vous téléchargez la version zip,dézippez le log dans un dossier alloué.

Si vous avez une alerte au cours du téléchargement ,ou au cours des réparations de votre antivirus,au sujet de ce script,n'en tenez pas compte.

 

-B-Désinfection.

 

-1-Désinstaller IGuard via Ajout/suppression des programmes.

 

-2-Redémarrer en mode sans echec.

 

-3-Supprimer les fichiers suivants.

.C:\wp.bmp <-le fichier

.C:\wp.exe<-le fichier

 

-4-Vider la corbeille.

 

-5-Redémarrer en mode sans echec

 

-6-Examen avec SpyBot.

bien mis à jour;supprimer tout ce qu'il propose(meme les verts)

 

-7-Examen avec Ad-awareSE

bien mis à jour;supprimer tout ce qu'il propose

 

-8-Examen avec CWShredder

--installer CWShredder dans un répertoire dédié

-- fermer toutes les fenêtres

-- lancer CWShredder et cliquer sur "Fix".

 

-9-Clic droit sur deldomains.inf-->Installer

 

-10-Passer l'outil lopremover.exe

 

-10-Redémarrer en mode sans echec

 

-11-Démarrer-->Exécuter-->Regedit-->OK

Naviguer jusqu'à

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

clic sur "system" pour la sélectionner, et à droite on voit des valeurs marquées.

clic droit sur la valeur "WallpaperStyle", supprimer la valeurWallpaper"=reg_sz:"c:\wp.bmp"

 

clic droit sur la valeur "NoDispBackgroundPage"-> modifier => entrer "00000000", sélectionne "hexadécimale", puis ok.

fermer le registre

 

-12-Double cliquer sur Silent Runners VBS

Un log est généré dans le meme dossier ou vous avez installé le programme,éxaminer le rapport et chercher minutieusement toute référence à wp.exe.

 

-13-Redémarrer normalement

 

-14-Vérifier si les propriétes d'affichage sont rétablies(regarder si les onglets sont réapparus)

 

-15-Double cliquer encore une fois sur Silent Runner VBS,et verifier dans le log la présence de wp.exe

 

-17-Repasser son antivirus,Ad-aware,Spybot

 

-18-Passer par WindowsUpdate,et prendre toutes les mises à jour.

 

Cas particulier:

Si wp.exe est toujours présent,utiliser Pocket KillBox.

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut queruak, salut à tous,

 

je vois que tu as donné une solution qui parrait efficace :P

 

dis moi pour cette entrée dans la BDR, autant la supprimer, car n'existe pas d'origine

clic droit sur la valeur "NoDispBackgroundPage"-> modifier => entrer "00000000", sélectionne "hexadécimale", puis ok.

fermer le registre

 

plutot que de modifier la donnée de la valeur

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour à tous,

Salut queruak, salut à tous,

 

je vois que tu as donné une solution qui parrait efficace :P

 

dis moi pour cette entrée dans la BDR, autant la supprimer, car n'existe pas d'origine

plutot que de modifier la donnée de la valeur

491027[/snapback]

 

Salut tesgaz :-(

 

Cette entré est retrouvée dans la plupart des cas en cas d'infection par ce trojan.

Je pense que c'est selon les résultats et les informations que fourniront nos amis "infectés" qu'on pourra eventuellement modifier la procedure de désinfection.

Toutefois je suis prét à y apporter une quelconque modification si tu juges que cette cette entrée est à supprimer.

Sinon je crois avoir fait le tour de la question,la méthode que j'ai proposé me semble éfficace ,mais elle ne le sera réellement qu'une fois verifiée "sur le terrain".

 

 

 

Merci, :-P

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Attention !

 

Attention !

 

Apparemment, ce nouveau malware est hyper dangereux car il a l'air d'anihiler l'internaute devant son ordinateur si j'en crois le silence en réponse au long et patient travail de queruak !

 

:P

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Bonsoir à tous,

 

Attention !

 

Attention !

 

Apparemment, ce nouveau malware est hyper dangereux car il a l'air d'anihiler l'internaute devant son ordinateur si j'en crois le silence en réponse au long et patient travail de queruak !

 

:P

491394[/snapback]

 

Hello ipl :-(

 

Je crois que le travail porte déja ses fruits.

Sur un forum ami,j'etais confronté à un probleme similaire(mais pas au meme trojan),avec disparition des onglets ,j'ai appliqué la procedure et ..ça marche !!!!

http://forum.pcastuces.com/sujet.asp?SUJET_ID=170163

Modifié par queruak
lovelyboy Junior Member

lovelyboy

Posté(e)
Posté(e)

Bonjour tout le monde !

même problème sur de nombreux forum, dont PCA, zeb, Info-du-net, etc...

quelqu'un sur IDN a trouve une solution (qui se rapproche fortement à celle trouvée ici :P ):

 

1/ dans demarrer puis rechercher, chercher les fichiers wp.exe et wp.bmp. Puis vous les supprimer...

2/ puis aller dans demarrer, executer, regedit, rechercher (edit, rechercher)les deux meme fichiers. Puis vous les supprimer...(une fois qu'il en a trouvé un vous le supprimer puis vous taper sur F3 pour chercher le suivant) .

3/enfin vous vous rendez la:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

vous modifiez les valeurs pour obtenir "0" comme si dessous:

"WallpaperStyle"=dword:00000000

"NoDispBackgroundPage"=dword:00000000

 

4/ vous fermez la base de registre et vous faites un clic droit sur le bureau et la c'est magique de retrouver l'onglet "bureau"

 

 

cela a marché dans beaucoup de cas, et pour ceux qui n'ont pas réussi à l'éradiquer de cette façon, on a terminé par un scan hijackthis (d'ailleurs si vous pouviez m'aider à tout analyser sur info-du-net, section securité-virus, parce-que là, trop de rapports à analyser, pour une seule personne, et pas un pro ---en l'occurence moi---).

 

voilà.

 

@+ et bonne chance à ceux qui ont ce trojan...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...