Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Trojan Swizzor


kat

Messages recommandés

Bonjour kat, bonjour à tous,

 

C:\WINDOWS\NDNuninstall4_85.exe -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_38.exe -> Spyware.NewDotNet : Nettoyer et sauvegarder

Qu'est-ce que tu faisais avec ces 3 fichiers dans C:\Windows ? as-tu eu NewDotNet dans ton système ?

 

 

 

Nous allons rechercher des fichiers sur le disque...

 

Démarrer / Exécuter / tape cmd et clique sur OK

 

Copie les commandes qui suivent :

 

Dir /s /a C:\swi??or*.* >C:\swizzor.txt

[Entrée]

 

puis

 

Dir /s /a C:\STA*.exe >>C:\swizzor.txt & Start notepad C:\swizzor.txt

[Entrée]

 

Ceci pourrait durer un certain temps car on recherche sur tout le disque...

 

Cette commande ouvre le bloc-notes avec le fichier C:\swizzor.txt

 

Copie le contenu de C:\swizzor.txt dans ton prochain post.

Lien vers le commentaire
Partager sur d’autres sites

tout d'abord merci pour ta réponse,

 

NewDotNet je ne sais pas vraiment ce que c'est ni d'où il vient mais j'ai le souvenir

d'avoir supprimé un dossier ou un fichier de ce nom il y a quelques temps. Tu sais de quoi il s'agit ?

 

j'ai bien fait ce que tu m'as dit mais pour le 1er : Dir /s /a C:\swi??or*.* >C:\swizzor.txt mais il ne s'est rien passé

 

et pour le second : Dir /s /a C:\STA*.exe >>C:\swizzor.txt & Start notepad C:\swizzor.txt voilà ce que j'ai obtenu :

 

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 3839-2F3E

 

R‚pertoire de C:\

 

20/08/2005 14:53 0 swizzor.txt

1 fichier(s) 0 octets

 

Total des fichiers list‚sÿ:

1 fichier(s) 0 octets

0 R‚p(s) 59ÿ536ÿ465ÿ920 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 3839-2F3E

 

j'ai obtenu ceci en quelques secondes est-ce normal?

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour kat, rebonjour à tous

tout d'abord merci pour ta réponse,

 

NewDotNet je ne sais pas vraiment ce que c'est ni d'où il vient mais j'ai le souvenir

d'avoir supprimé un dossier ou un fichier de ce nom il y a quelques temps. Tu sais de quoi il s'agit ?

Oui, NewDotNet est le malware favori d'une régie marketing qui affiche de la pub sur ton ordinateur... elle obtient ton autorisation pour cela ! :P

Nous la connaissons bien dans les rapports HijackThis qui affiche çà en O10.

j'ai bien fait ce que tu m'as dit mais pour le 1er : Dir /s /a C:\swi??or*.* >C:\swizzor.txt  mais il ne s'est rien passé
C'est normal ! Il s'agit d'une commande ultra rapide qui recherche sur tout le disque dur et je lui ai demandé d'écrire son résultat dans un fichier C:\Swizzor.txt
et pour le second : Dir /s /a C:\STA*.exe >>C:\swizzor.txt & Start notepad C:\swizzor.txt  voilà ce que j'ai obtenu :

 

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 3839-2F3E

 

R‚pertoire de C:\

 

20/08/2005  14:53                0 swizzor.txt

              1 fichier(s)                0 octets

 

    Total des fichiers list‚sÿ:

              1 fichier(s)                0 octets

              0 R‚p(s)  59ÿ536ÿ465ÿ920 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 3839-2F3E

 

j'ai obtenu ceci en quelques secondes est-ce normal?

555445[/snapback]

Cette "double commande" recherche encore des fichiers sur l'ensemble du disque et écrit le résultat dans le ficheir C:\Swizzor.txt à la suite de la commande précédente puis je demande d'ouvrir le ficheir en question dans le bloc-note.

 

Ni swizzor, ni swissor n'ont été trouvés sur le disque (même cachés) et il en est de même pour un fichier commençant par STA qui les accompagnent souvent !

(le seul fichier trouvé est C:\swizzor.txt qui a été créé par la commande elle-même mais c'est normal bien sûr puisque je l'ai fait exprès de manière à vérifier que mes commandes fonctionnent)

 

Il m'énerve ce swizzor !!!

- rien dans HijackThis

- rien sous les noms recherchés sur le disque

Nous allons vérifier la base de registres mais si je ne cherche pas au bon endroit et pas les bons noms, je ne trouverai rien ! :P

 

 

 

Nous allons rechercher ce fichier dans la base de registres grâce à Registry Search de mon ami Bobbi Flekman

-> http://www.bleepingcomputer.com/files/misc/regsearch.zip ) :

- télécharge  et dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle swizzor dans la première ligne de la zone de recherche

- copie colle swizzor dans la deuxième ligne de la zone de recherche

- copie colle STAF.exe dans la troisième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Merci Bobbi ! :-P

Lien vers le commentaire
Partager sur d’autres sites

voilà ce que me donne RegSearch :

 

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 20/08/2005 15:48:32 for strings:

; 'swizzor'

; 'swizzor'

; 'staf.exe'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_USERS\S-1-5-21-2603078972-4086101349-3589943688-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

"a"="C:\\Documents and Settings\\KATIA\\Bureau\\swizzor.txt"

 

[HKEY_USERS\S-1-5-21-2603078972-4086101349-3589943688-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt]

"h"="C:\\Documents and Settings\\KATIA\\Bureau\\swizzor.txt"

 

; End Of The Log...

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour kat,

 

Rien de trouvé dans la base de registres !

 

:P

 

As-tu toujours l'alerte ?

 

Ce swizzor m'énerve !

Cà va prendre un peu de temps mais je vais aller effectuer des recherches sur l'Internet et piocher dans les idées des uns et des autres... jusqu'à présent, je n'ai rien trouvé de valable !

... à bientôt !

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour kat,

 

Rien de trouvé dans la base de registres !

 

:P

 

As-tu toujours l'alerte ?

 

Ce swizzor m'énerve !

Cà va prendre un peu de temps mais je vais aller effectuer des recherches sur l'Internet et piocher dans les idées des uns et des autres... jusqu'à présent, je n'ai rien trouvé de valable !

... à bientôt !

555496[/snapback]

 

Re IPL. Si ça peut t'aider, une petite liste de fichiers concernant ce coriace (source : PestPatrol)

 

44b56ef.exe

af16480a.exe

loyftzhg.exe

profilepath+\local settings\temp\6bd5111a.exe

profilepath+\local settings\temp\aade6.exe

programfilesdir+\objcdrom\mdhhwkfg.exe

Lien vers le commentaire
Partager sur d’autres sites

As-tu toujours l'alerte ?

 

Ce swizzor m'énerve !

Cà va prendre un peu de temps mais je vais aller effectuer des recherches sur l'Internet et piocher dans les idées des uns et des autres... jusqu'à présent, je n'ai rien trouvé de valable !

... à bientôt !

555496[/snapback]

rebonjour ipl_001

 

oui j'ai toujours des alertes la dernière à 16h00, moi aussi swizzor commence vraiment à m'énerver, en tout cas je te remercie encore pour ton aide et pour ton énergie face à ce parasite! On finira bien par s'en débarrasser :P je vais également jeter un petit coup d'oeil sur le net

à bientot

Lien vers le commentaire
Partager sur d’autres sites

Re les fouineurs du swizzor :P . Je viens de voir que Trojan Hunter embarquait bien ces furieux de swizzor dans sa base. Ca vaudrait peut être le coup de lancer un scan en mode sans échec avec la version free 30 jours de Trojan Hunter (une référence dans l'éradication des trojans, puisqu'il ne fait que cela et ma foi très bien).

 

Quand penses tu IPL ?

 

http://www.misec.net/trojanhunter/

Lien vers le commentaire
Partager sur d’autres sites

Re les fouineurs du swizzor :P . Je viens de voir que Trojan Hunter embarquait bien ces furieux de swizzor dans sa base. Ca vaudrait peut être le coup de lancer un scan en mode sans échec avec la version free 30 jours de Trojan Hunter (une référence dans l'éradication des trojans, puisqu'il ne fait que cela et ma foi très bien).

 

Quand penses tu IPL ?

 

http://www.misec.net/trojanhunter/

555519[/snapback]

je pense que ça pourrait bien fonctionner merci pour l'info, alors je commence tout ça et je vous tiens au courant

 

megataupe te voilà devenu officiellement fouineur du swizzor ! :P:-P

bonne soirée

Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en [Résolu] Trojan Swizzor

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...