[Résolu] Trojan Swizzor

[ipl_001]

Rebonsoir à tous,

 

Nous allons donc faire les choses manuellement :

 

Démarrer / Exécuter / tape RegEdit et clique sur OK

 

Amène le curseur en haut à gauche sur "Poste de travail" (je te conseille de replier toutes les branches de manière à n'avoir que les 5 branches

HKCR, HKCU, HKLM, HKU et HKCC

 

Déroule l'arborescence jusqu'à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

et liste moi tous les CLSID qu'on y trouve.

(en pratique, on copie les CLSID dans un fichier texte)

Les CLSID sont ces chaines de caractères entre accolades

par exemple {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

 

Fais de même pour

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

 

------------------------------------------------------------------------------------------

 

Une fois ces CLSID trouvées, on va chercher ce qu'elles contiennent en allant, pour chacune d'elles, regarder dans :

HKEY_CLASSES_ROOT\CLSID\(CLSID)

en mirant "(par défaut)"

et "InprocServer32"

(en fait, on copie le CLSID, on remonte au niveau de "Poste de travail" et on lance une recherche (Ctrl-F) du CLSID sur les clés seulement)

 

par exemple

HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

correspond à "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll"

c'est à dire que ce n'est pas un malware !

 

-----

 

S'il s'agit d'un malware, on supprime la clé aux niveaux Toolbar, BHO et HKCR\CLSID\(CLSID)

 

On n'oublie pas de :

- installer un pare-feu

- mettre à jour le système

- installer ZebProtect

[Invité tesgaz]

Salut

 

autoruns de sysinternal devrait nous en dire plus

http://www.sysinternals.com/utilities/autoruns.html

[kat]

Bonsoir ipl_001 et bonsoir à tous

 

j'ai fait ce que tu m'as dit et voilà les résultats :

 

Pour : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

 

{2318C2B1-4965-11d4-9B18-009027A5CD4F} c:\program files\google\googletoolbar2.dll

{EE5D279F-081B-4404-994D-C6B60AAEBA6D} c:\Program Files\EPSON\EPSON Web-To-Page.dll

 

 

POur : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} c:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\program files\google\googletoolbar2.dll

{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} c:\Program Files\EPSON\EPSON Web-To-Page.dll

 

 

je ne vois rien qui ressemble à un malware, t'en penses quoi?

 

Pour le pare-feu je suis équipée de ZoneAlarm, mon système est à jour et ZebProtect est installé (par contre je ne sais pas si je l'ai bien configuré, dans la partie concernant les ports il y a seulement messenger1027 qui est coché)

[ipl_001]

Bonsoir kat, bonsoir à tous,

 

En effet, il n'y a aucun malware dans les éléments cités !

 

Tout au plus, ton Acrobat Reader qui se fait un peu vieux !

 

Si ton antivirus continue à protester, nous pouvons continuer et rechercher certains fichiers signalés comme accompagnant Swizzor.

[kat]

Si ton antivirus continue à protester, nous pouvons continuer et rechercher certains fichiers signalés comme accompagnant Swizzor.

557912[/snapback]

bonsoir ipl_001 et bonsoir tout le monde

 

mon antivirus continue toujours à le détecter, et lorque que j'ai démarré un scan avec Ad-Aware toute à l'heure et bien Antivir s'est déclanché à plusieurs reprises pendant le scan car il avait détecté des fichiers liés à ce fameux Swizzor. Je pense qu'il s'agissait de CLSID je suis donc retournée dans l'Editeur de Registre pour rechercher ces CLSID mais il n'y avait rien.

 

Si tu es toujours d'attaque pour éradiquer Swizzor moi je te suis

[ipl_001]

Bonsoir kat, bonsoir à tous,

 

Bien bizarre ce que tu dis !

 

Antivir déclenche-t-il l'alerte lorsque Ad-Aware est en train de scanner ? si Ad-Aware ne scanne pas, AntiVir ne dit rien ???!!!

[kat]

Antivir se déclenche tout seul toutes les heures losqu'il détecte Swizzor sinon losque je fait un scan Ad-Aware (peut importe l'heure) il se déclenche pendant le scan plusieurs fois de suite

[kat]

bonjour tout le monde

 

J'ai comme l'impression qu'on a réussit à se débarrasser de Swizzor, je ne sais pas vraiment comment parce que depuis mon dernier message j'ai rien fait de spécial. Hier il ne s'est pas manifesté et aujourd'hui non plus, j'ai même fait un scan Antivir et là il ne m'a détecté aucun fichier infecté par Swizzor alors qu'avant il en trouvait.

Je sais pas si tout cela est normal mais une chose est sûre j’espère qu’il ne reviendra pas !

En tout cas je vous dit un grand Merci à vous tous de m’avoir aidé et conseillé, merci beaucoup ipl_001

Votre aide nous est très précieuse sur le net heureusement que vous êtes là !

[ipl_001]

De rien kat !

 

Il m'énerve ce swizzor car il ne fait jamais ce que j'attends !

 

Je vais essayer de comprendre mais pour le moment... !!!??? #ù$ç@ Bugger Swizzor!

[ZoX']

Pour le pare-feu je suis équipée de ZoneAlarm, mon système est à jour et ZebProtect est installé (par contre je ne sais pas si je l'ai bien configuré, dans la partie concernant les ports il y a seulement messenger1027 qui est coché)

 

Bonjour, si ça va mieux tant mieux pour toi mais j'ai moi aussi été infecté par ce siwizzor et c'est en fermant tous les ports (sauf le 135) qu'il a arreté de venir donc si il revient essaie en fermant tous les ports sur Zeb Protect