Ewido trojan.small dans dossier vide - Sécurité - Windows & Software
Marsh Posté le 02-06-2006 à 17:32:41
Bonjour, télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le
Marsh Posté le 02-06-2006 à 17:50:33
Merci de supprimer les !!! dans ton titre.
Marsh Posté le 03-06-2006 à 13:59:48
Voici le rapport:
SmitFraudFix v2.53
Rapport fait à 13:57:48,20, 03/06/2006
Executé à partir de C:\Documents and Settings\nomnom\Local Settings\Temporary Internet Files\Content.IE5\UPEFSZI7\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\oleext.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\STEVE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\STEVE\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 03-06-2006 à 14:03:21
bjr
le dossier 1024 est illégitime donc même s'il est vide c'est normal que tu aies une alerte.
Nettoyage:
* Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
* Double cliquer sur smitfraudfix.cmd
* Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers respondables de l'infection.
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
* Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
voilà, si tu as encore des pbs après ça, hésite pas à le signaler.
Marsh Posté le 03-06-2006 à 14:22:10
eZula a écrit : bjr |
C'est sur cette procédure, je ne risque pas de planter le pc.
sinon lle rapport posté est il suspect
Marsh Posté le 03-06-2006 à 14:29:27
rocc62 a écrit : C'est sur cette procédure, je ne risque pas de planter le pc. |
certain
du rapport posté, retiens ceci :
Citation : »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 |
c'est la seule chose qu'il a trouvé, et il va supprimer ce fichier oleext.dll lorsque tu le lanceras en mode sans échec.
Marsh Posté le 03-06-2006 à 14:33:20
excuse mais en virant ce fichier contenu dans un dossier system de windows , ça ne va pas faire merdait mon pc ?
Marsh Posté le 03-06-2006 à 14:36:35
souvent les malwares ont des noms impressionants ou très proches de fichiers sytème, évidemment c'est exprès pour semer la confusion
je te garantis que la suppression de ce fichier n'entrainera aucun problème sur ton pc
Aie confiance ! SmitfraudFix est un utilitaire parfaitement fiable et à la renomée internationale
Marsh Posté le 03-06-2006 à 14:52:36
Salut, tout c'est bien passé, Ewido ne detecte plus ce trojan.
SmitfraudFix ne m'a rien demandé concerant wininet.dll.
Par contre quand j'ai demandé de nettoyer le registre, une fenêtre windows est apparu me damandant si je voulais rester en mode sans echec (selectionner oui) ou quite ce mode et redemarrer à la derniere restauration systeme (selectionner non), j'ai choisi "oui", puis j'ai fermé SmitfraudFix .
rapport:
Rapport fait à 14:40:41,64, 03/06/2006
Executé à partir de C:\Documents and Settings\nomnom\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\oleext.dll supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
C'est bon là , il a viré tout ce qui était louche ?
Marsh Posté le 03-06-2006 à 15:00:36
rocc62 a écrit : C'est bon là , il a viré tout ce qui était louche ? |
vouip
Citation : Suppression des fichiers infectés |
Marsh Posté le 03-06-2006 à 15:02:51
Merci ezula, c'est bien pratique les forums et respect aux passionnés comme toi qui n'hésite pas à aider les internautes en détresse.
Marsh Posté le 03-06-2006 à 15:05:49
de rien, tu peux supprimer le dossier SmitfraudFix qui est sur ton bureau.
A bientot
Marsh Posté le 09-06-2006 à 15:40:42
Merci à ezula
quand je decompresse le smitfraud zip, je double clique sur smitfraudfix.cmd, il me met erreur process.exe manque et il est pourtant bien dans le repertoir
merci de m aider
ariane
Marsh Posté le 09-06-2006 à 15:53:59
salut fusee1
fais un clic droit sur le dossier smitfraudfix.zip et dis-nous toutes les options que tu as, en particulier du genre "extraire tout", "extraire", winrar, 7-zip, etc.
il faut dézipper la totalité de l'archive (donc par exemple cliquer sur "extraire tout", ou "extraire les fichiers"
Marsh Posté le 09-06-2006 à 17:00:58
rebonjour
voila merci a ezula pour m aider
SmitFraudFix v2.56
Rapport fait à 17:00:06,98, 09/06/2006
Executé à partir de C:\Documents and Settings\FURER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\gimmygames.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\FURER\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FURER\Favoris
C:\DOCUME~1\FURER\Favoris\Antivirus Test Online.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\secure32.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
ariane
Marsh Posté le 09-06-2006 à 17:03:55
ezula
est-ce que je dois faire la procedure du mode sans echec
excuser moi
ariane
Marsh Posté le 09-06-2006 à 17:04:54
fusee1 a écrit : est-ce que je dois faire la procedure du mode sans echec |
je vois que tu connais le principe et la réponse est sans hésiter : oui
Marsh Posté le 09-06-2006 à 17:36:37
re bonjour
SmitFraudFix v2.56
Rapport fait à 17:30:15,90, 09/06/2006
Executé à partir de C:\Documents and Settings\FURER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
comme rocc 62 a dit merci a ezula
bravo chef
Bonne fin de journée
ariane
Marsh Posté le 15-06-2006 à 18:35:23
Salut, depuis l'utilisation de SmitFraudFix à cause de la présence d'un dossier suspect dans c/windows/system32, A2-squared que j'ai utilisé aujourd'hui m'a détecté le fichier process.exe dans c/windows/system32 , A2-squared l'identifie comme pouvant sagir d'un malware, hors ce fichier est une copie du fichier de même nom et de même type et même taille qui était sur mon bureau dans le dossier SmitFraudFix lors de l'utilisation de ce dernier.
Que faisait ce fichier dans le repertoire windows ?
SmitFraudFix n'est il pas dangereux? ,c'est louche tout ça !!!
Je certifie que le fichier détecté par A2-squared est lié à SmitFraudFix car quand je plaçait ma souris dessus , le nom de SmitFraudFix apparaissait ainsi que le nom de l'éditeur de ce programme et la version 2.00.00 .
une idée.
Marsh Posté le 15-06-2006 à 18:55:59
Salut
voilà la réponse à ta question :
Citation : Faux positif: |
il est donc important de faire une distinction entre un "malware" (virus, dialer, trojan...) et un "risktool" qui n'est que potentiellmeent dangereux. SmitfraudFix a la capacité d'arrêter des processus afin d'effectuer ses suppressions sans gêne, voilà tout.
Des risktool il y en a beaucoup, comme par exemple l'utilitaire d'HP (terminator.exe)...
pour l'autre question :
Citation : Que faisait ce fichier dans le repertoire windows ? |
alors je crois bien que ce fichier process.exe est copié d'office dans system32. En fait pour éviter ça, il faut cliquer sur la touche Q lorsque tu quittes SmitfraudFix (menu en fenetre de commande) et ce fichier sera supprimé.
Tu peux supprimer ce fichier sans problème.
Marsh Posté le 02-06-2006 à 17:21:52
Bonjour, aujourd'hui j'ai lancé un scan via EWIDO 3.5 antimalware et dans C:\WINDOWS\SYSTEM32\1024 , il me détecte un trojan.small .
J'ai regardé dans ce répertoire, il n'y a rien , pas un fichier (affiché les fichiers cachés ACTIVE via panneau config/option de dossiers)
Bitdefender pro 9 , microfsoft antispyware, a-squared, ad-aware, spybot , tous ne détectent rien
j'ai même fait plusieurs nettoyage via Ccleaner , de plus les antivirus et logiciels de protection sont tous à jour
votre avis, je suis sous xp sp2 familiale avec derniéres mise à jour
merci
Message édité par rocc62 le 02-06-2006 à 17:52:45