Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]le cheval de troie swizzor.co qui revient

punkie93250

Par punkie93250
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir punkie93250,

 

voici les resultats :

 

HKLM\SOTFWARE\Microsoft\Cryptography\RNG\Seed

29/07/05 : 80 Bytes : Data mismatch between Windows API and Raw hive data

 

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[1]

29/07/05 : 65 Bytes : Hidden from Windows API (mais je crois que ce sont les traces de swizzor.co qui est venu a 20h00)

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[2]

29/07/05 : 65 Bytes : Visible in Windows API, but not in MFT or directory index (encore swizzor je pense)

dsl mais j'ai du recopier.

543550[/snapback]

Pourrais-tu effectuer une exportation de cette clé puis la supprimer :

HKLM\SOTFWARE\Microsoft\Cryptography\RNG\Seed

 

Pourrais-tu logguer ton ordinateur avec un compte autre que babou mais avec droits d'administrateur et supprimer tout ce qui est à l'intérieur de

C:\Documents and Setting\babou\local settings\Temporary Internet Files

(attention, vérifie soigneusement la taille de TIF et le nombre de fichier et dossier car ce n'est pas facile et Windows n'obéit pas facilement !)

et en particulier

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[1]

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[2]

punkie93250 Member

punkie93250

Posté(e)
  • Auteur
Posté(e) (modifié)

ca yes g tout fais je nai plus qua atendre 2h du mat pour voir si swizzor revient

mai sil ne vien pas a 2h00 je nattendrai pas 3h lol je verrai demain sinon mais bon il reste 5 minute lol

mais ya un truc qur je ne comprend pas c'est que avant que je vienne ici swizzor venait une fois !

puis kan j'ai fait tes manip swizzor vient deux fois d'affiler donc peut etre kune des manip a "ouvert" larrive du 2eme swizzor et si on trouve cette manip peut etre kon peut trouvé la raison de larrivé de swizzor

 

hey jai l"impression que swizzor c'est un ami de longue date mdr mais il n'est pas le bienvenu lol sur mon ordi (desolé de cette pitite blague a deux balles mais c'est le petage de plomb et les antidepresseurs lol)

 

EDIT : 2h00 du mat pas de nouvelle de mon ami swizzor.co lol je verrai demain

merci de maider

bonne nuit a vous tous et a demain pour le super casse tete "a la recherche de mon ami swizzor"

 

PS un petit delire :

 

"il etait une fois un cheval de troie nommé swizzor.co, ce cheval de troie est arrivé sur mon ordi grace a Msn + , puis son ami c2.lop lui a montrér le chemin !

et il est arrivé sur mon ordi quand tout d'un coup ! tadam antivir le repere et le demasque!! hey toi swizzor.co si tu fais embete mes programme que je surveille je te detruit !!!

aussi tot dit aussi tot fait!

DELETE !

Mais swizor n'aime pas perdre alors il dit qu'il reviendra autant qu'il faudra pour m'embeté !!

ahahaha

mais c'est sans compté l'arrivé de ipl_001 qui fait tout pour eradiqué swizzor

mais swizzor est plus malin maintenant il se dedouble !!

ahahaha swizzor a un frere jumeau !!!!

oh mon dieu la grosse revelation.....

ipl_001 me fait faire des manip pour eradiquer swizzor mais il resisite ce ti pepere mais tinkiete swizzor tes heures sont comptées.

hahahahah

(la suite plutard dansle grand feuilleton de l'ete lol)

 

Oh ma vache je perd la boule mdr

Modifié par punkie93250
tirol Extrem Member

tirol

Posté(e)
Posté(e)

salut punkie93250,

moiataplassejauraipasattendusitardcarsinonsépkoilesvirusilsviennentkantatanpasetsépoursaquelesjanyonoinventélesvirusouleschevalsdetroiekanyviennenttusépasetkantutaandpasnonplu.

donccépkoiquilsviennentpastoujoursmaisdesfoissiilsviennentalorstusépasalorstusaisparcequetonantivirusaditmaisdesfoisyditpasetalorstusaisrien.

moigéjamaiseuswizzoradeuxheuresdumatinparcequeyvadansle95àcetteheurelàetjamaischezmoietpaslabasnonplus.

féconfiansseilsvonttrouvétoutetamisère

tirol

punkie93250 Member

punkie93250

Posté(e)
  • Auteur
Posté(e) (modifié)

merci pour ton message mais la barre espace existe lol

mais je n'ai pas de virus car a chaque fois que swizzor arrive je le supprime et je passe un antivirus de lordi et du net je suis parano mais je prefere men rassurer..

sinon je leur fait confiance car jai deposé un post sur telecharger.com (dsl pour la reference !!) et le mec ma fait faire quelque manip il ma dit que cetait reparer et ce netait pas le cas. puis jai redemander a laide et la cetait ignorance totale donc jai vu que sur ce forum les gens sacharne sur les cas donc cela me rassure...

et jespere que cela va disparaitre le pire c'est que je sais tout de swizzor son arrivé ses formes tout mais je narrive pas a lempecher de vouloir revenir et l pire c'est qu'il se dedouble mais cela cetait suite a une manip.

mais c rien je ne suis pas a un swizzor pres lol

heu tu me dis que swizzor arive a deux du mat dans le 95 et il arrive a quel heure dans le 94 histoire que je le loupe lol

et ce qui me parait bizarre c'est que bcp de personne ce plaigne de swizzor.dq ou autre mais pas swizzor.co et quand je recherche sur googl pour avoir des informations c'est ecris en allemand mais sinon je fais confiance a lequipe.

et apres on verra !!!! bientot 3h du mat !!

la suite des aventures de swizzor va arrivé peut etre lol

 

 

EDIT : 3h du mat swizzor nes pas venu peut etre quil dort ou peut etre kil ne viendra plus seul lavenir me le dira lol

 

bonne nuit les djeunes

Modifié par punkie93250
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour punkie93250,

 

12h 19h 21h 00h00 et 3h00
Any news?
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour punkie93250,

 

Je relis l'ensemble de la discussion...

 

Tu ne m'as pas rendu compte des recherches effectuées (message #28 et #29) :

 

Informations à exploiter :

--- le résultat des recherches disque (swizzor et STA*.*) (message #28)

--- le résultat des recherches BdR (swizzor et STAF.exe STA9.exe STA12.exe) (message #29)

--- la doc Sophos (message #38)

--- la doc ComputerAssociates (message #38)

punkie93250 Member

punkie93250

Posté(e)
  • Auteur
Posté(e) (modifié)

bonjour vous tous qui lisez mes aventures extraordinaire avec swizzor!

donc pour linstant swizzor na pas l'air de revenir (je touche du bois)

 

donc concernant les manipulation il n'y avait pas de swizzor ou sta.exe sur le DD

ensuite suite a ton message venant de sophos j'ai enlever la cle dans local machine puis je nai trouve dans le root les cle a supprimer.

 

ensuite jai supprimer les fichier que tu ma demandé en mode sans echec administrateur. en fait ca disparaissait quand je redemarrais l'ordinateur

 

puis j'ai passé un cleanup, un ewido, antivir et rien n'a ete detecté

puis j'ai installé zebprotect et j'ai fermer tous les ports critiques

 

et actuellement swizzor na pas lair de revenir la il est plus de 15h et pas de news de lui

 

donc jespere qu'il a ete supprime ou bloquer. mais je prefere laisser quelque jours avant de pouvoir crier HOURRA lol

 

je me demande si ce netait pas a cause de mes ports ouverts que swizzor arrivait ?

 

je ne m'y connai pas mais comme swizzor sattrape a cause de msn+ et c2.lop, peut etre que c2.lop qui est un programme pirate avait "possession" de mon ordi et essaie de m'envoyer swizzor a heures fixe pour pouvoir telecharger des programme sans mon concentement et menvoyer des pub.

 

enfin ce n'est qu'une hypothese car j'ai vu que tous mes ports etaient ouverts donc facilement piratable.

 

bon pour linstant swizzor ne vient pas

 

merci de mavoir aider et de ne pas avoir desesperer a cause de mon cas.

 

PS desolé des fautes dortographe mais quand je veu modifier le mot en faite les lettres disparaissent au fur et a mesure donc pour une lettre oublié faut que je retape toute la phrase et comme engeneral c'est a la fin que je remarque lerreur...

 

mais sinon jecris bien je vous assure

Modifié par punkie93250
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour punkie93250, rebonjour à tous,

 

Merci pour les nouvelles ! J'espère que çà va durer !

 

Les choses évoluent sans cesse et les certitudes sont à réviser et adapter !

 

Il y a peu, j'aurais dit que tout malware est visible dans le rapport HijackThis...

HijackThis est un programme merveilleux qui n'est plus tenu à jour par Merijn (qui sature et s'adonne à d'autres loisirs).

Les pirates veulent exploiter un secteur où ils ont beaucoup d'argent à gagner (les malwares peuvent rapporter très gros) et mènent des recherches continuelles !

 

Il y a actuellement de nouvelles techniques d'activation qui passent à côté des éléments surveillés par HJT (les pirates connaissent HJT mieux que quiconque puisque c'est leur principal ennemi), on le voit avec les nouveaux malwares qui donnent de plus en plus de mal et on est ramené à la période d'avant HJT où on y allait à l'aveuglette en essayant 36 trucs !

Je ressens de plus en plus le besoin de rejoindre les forces anti-malwares pour me tenir au courant et être plus efficace !

 

 

 

Mes "croyances actuelles"

Un malware arrive par :

- un module sur le disque et dans la base de registres qui peut éventuellement, télécharger des programmes

et/ou

- une faille dans le système qui permet d'intervenir de l'extérieur

et/ou

- un/des port(s) ouvert(s) préalablement par une attaque de malware (partiellement nettoyée) qui permet une intervention extérieure

 

Attention : Les malwares sont très mal connus... un éditeur antivirus est pris par le temps (il faut qu'il supplante la concurrence en parlant le premier) et sort ses défences à la hâte en n'étudiant que partiellement les agissements d'un malware si bien que même réparé, un système ayant été infecté comporte encore des séquelles !

Ce ne sont pas les grands effets de manche visibles de tous qu'il faut prendre en compte dans la description d'un malware mais les petites lignes qui parlent des ports ouverts !!!

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour punkie93250,

 

PS desolé des fautes dortographe mais quand je veu modifier le mot en faite les lettres disparaissent au fur et a mesure donc pour une lettre oublié faut que je retape toute la phrase et comme engeneral c'est a la fin que je remarque lerreur...
Qu'est-ce que c'est que cette histoire ? depuis quand ?? avec quels éditeurs de texte ???

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...