Ewido trojan.small dans dossier vide

Ewido trojan.small dans dossier vide - Sécurité - Windows & Software

Marsh Posté le 02-06-2006 à 17:21:52    

Bonjour,  aujourd'hui j'ai lancé un scan via EWIDO 3.5 antimalware   et dans C:\WINDOWS\SYSTEM32\1024   , il me détecte un trojan.small    .  
 
J'ai regardé dans ce répertoire, il n'y a rien , pas un fichier (affiché les fichiers cachés ACTIVE via panneau config/option de dossiers)
 
Bitdefender pro 9  , microfsoft antispyware, a-squared, ad-aware,  spybot   , tous ne détectent rien  
 
j'ai même fait plusieurs nettoyage via  Ccleaner  , de plus les antivirus et logiciels de protection sont tous à jour  :chewyy:  
 
votre avis, je suis sous xp sp2 familiale avec derniéres mise à jour
 
merci


Message édité par rocc62 le 02-06-2006 à 17:52:45
Reply

Marsh Posté le 02-06-2006 à 17:21:52   

Reply

Marsh Posté le 02-06-2006 à 17:32:41    

Bonjour, télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le

Reply

Marsh Posté le 02-06-2006 à 17:50:33    

Merci de supprimer les !!! dans ton titre.


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 03-06-2006 à 13:59:48    

Voici le rapport:
 
 
SmitFraudFix v2.53
 
Rapport fait à 13:57:48,20, 03/06/2006
Executé à partir de C:\Documents and Settings\nomnom\Local Settings\Temporary Internet Files\Content.IE5\UPEFSZI7\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\oleext.dll PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\STEVE\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\STEVE\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin


Message édité par rocc62 le 03-06-2006 à 14:53:49
Reply

Marsh Posté le 03-06-2006 à 14:03:21    

bjr
 
le dossier 1024 est illégitime donc même s'il est vide c'est normal que tu aies une alerte.
 
 Nettoyage:
 
    * Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
    * Double cliquer sur smitfraudfix.cmd
    * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers respondables de l'infection.
    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
    * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
 
voilà, si tu as encore des pbs après ça, hésite pas à le signaler.

Reply

Marsh Posté le 03-06-2006 à 14:22:10    

eZula a écrit :

bjr
 
le dossier 1024 est illégitime donc même s'il est vide c'est normal que tu aies une alerte.
 
 Nettoyage:
 
    * Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
    * Double cliquer sur smitfraudfix.cmd
    * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers respondables de l'infection.
    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
    * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
 
voilà, si tu as encore des pbs après ça, hésite pas à le signaler.


 
C'est sur  cette procédure, je ne risque pas de planter le pc.
sinon lle rapport posté est il suspect

Reply

Marsh Posté le 03-06-2006 à 14:29:27    

rocc62 a écrit :

C'est sur  cette procédure, je ne risque pas de planter le pc.
sinon lle rapport posté est il suspect


 
certain
 
du rapport posté, retiens ceci :
 

Citation :

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\oleext.dll PRESENT !


 
c'est la seule chose qu'il a trouvé, et il va supprimer ce fichier oleext.dll lorsque tu le lanceras en mode sans échec.

Reply

Marsh Posté le 03-06-2006 à 14:33:20    

excuse mais en virant ce fichier contenu dans un dossier system de windows , ça ne va pas faire merdait mon pc ?

Reply

Marsh Posté le 03-06-2006 à 14:36:35    

souvent les malwares ont des noms impressionants ou très proches de fichiers sytème, évidemment c'est exprès pour semer la confusion
 
je te garantis que la suppression de ce fichier n'entrainera aucun problème sur ton pc
 
Aie confiance ! SmitfraudFix est un utilitaire parfaitement fiable et à la renomée internationale

Reply

Marsh Posté le 03-06-2006 à 14:52:36    

Salut, tout c'est bien passé,  Ewido ne detecte plus ce trojan.
SmitfraudFix  ne m'a rien demandé concerant wininet.dll.
Par contre quand j'ai demandé de nettoyer le registre, une fenêtre windows est apparu me damandant si je voulais rester en mode sans echec (selectionner oui) ou quite ce mode et redemarrer à la derniere restauration systeme (selectionner non), j'ai choisi "oui", puis j'ai fermé SmitfraudFix .
 
rapport:
 
 
 
Rapport fait à 14:40:41,64, 03/06/2006
Executé à partir de C:\Documents and Settings\nomnom\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\system32\oleext.dll supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
 
C'est bon là ,  il a viré tout ce qui était louche ?

Message cité 1 fois
Message édité par rocc62 le 03-06-2006 à 14:55:37
Reply

Marsh Posté le 03-06-2006 à 14:52:36   

Reply

Marsh Posté le 03-06-2006 à 15:00:36    

rocc62 a écrit :

C'est bon là ,  il a viré tout ce qui était louche ?


 
vouip :)
 

Citation :

Suppression des fichiers infectés
 
C:\WINDOWS\system32\oleext.dll supprimé


Reply

Marsh Posté le 03-06-2006 à 15:02:51    

Merci ezula,  c'est bien pratique les forums et respect aux passionnés comme toi qui n'hésite pas à aider les internautes en détresse.

Reply

Marsh Posté le 03-06-2006 à 15:05:49    

de rien, tu peux supprimer le dossier SmitfraudFix qui est sur ton bureau.
 
A bientot :)

Reply

Marsh Posté le 09-06-2006 à 15:40:42    

Merci à ezula
 
quand je decompresse le smitfraud zip, je double clique sur smitfraudfix.cmd, il me met erreur process.exe manque et il est pourtant bien dans le repertoir
merci de m aider
ariane

Reply

Marsh Posté le 09-06-2006 à 15:53:59    

salut fusee1
 
fais un clic droit sur le dossier smitfraudfix.zip et dis-nous toutes les options que tu as, en particulier du genre "extraire tout", "extraire", winrar, 7-zip, etc.
 
il faut dézipper la totalité de l'archive (donc par exemple cliquer sur "extraire tout", ou "extraire les fichiers"

Reply

Marsh Posté le 09-06-2006 à 17:00:58    

rebonjour
voila merci a ezula pour m aider
SmitFraudFix v2.56
 
Rapport fait à 17:00:06,98, 09/06/2006
Executé à partir de C:\Documents and Settings\FURER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
C:\WINDOWS\gimmygames.dat PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\FURER\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FURER\Favoris
 
C:\DOCUME~1\FURER\Favoris\Antivirus Test Online.url PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
C:\Program Files\secure32.html PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
ariane

Reply

Marsh Posté le 09-06-2006 à 17:03:55    

ezula
est-ce que je dois faire la procedure du mode sans echec
 
excuser moi
ariane

Reply

Marsh Posté le 09-06-2006 à 17:04:54    

fusee1 a écrit :

est-ce que je dois faire la procedure du mode sans echec


 
je vois que tu connais le principe et la réponse est sans hésiter : oui :)

Reply

Marsh Posté le 09-06-2006 à 17:36:37    

re bonjour
 
SmitFraudFix v2.56
 
Rapport fait à 17:30:15,90, 09/06/2006
Executé à partir de C:\Documents and Settings\FURER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
comme rocc 62 a dit merci a ezula
bravo chef
 
Bonne fin de journée
ariane

Reply

Marsh Posté le 15-06-2006 à 18:35:23    

Salut,  depuis l'utilisation de SmitFraudFix  à cause  de la présence d'un dossier suspect  dans c/windows/system32, A2-squared que j'ai utilisé aujourd'hui m'a détecté le fichier process.exe dans c/windows/system32 , A2-squared l'identifie comme pouvant sagir d'un malware, hors ce fichier est une copie du fichier de même nom et de même type et même taille qui était sur mon bureau dans le dossier SmitFraudFix   lors de l'utilisation de ce dernier.
 
Que faisait ce fichier dans le repertoire windows ?
SmitFraudFix   n'est il pas dangereux? ,c'est louche tout ça !!!
 
Je certifie que le  fichier détecté par A2-squared est lié à SmitFraudFix   car quand je plaçait ma souris dessus , le nom de SmitFraudFix   apparaissait ainsi que le nom de l'éditeur de ce programme et la version 2.00.00   .
 
une idée.

Reply

Marsh Posté le 15-06-2006 à 18:55:59    

Salut
 
voilà la réponse à ta question :
 

Citation :

Faux positif:
 
      process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
      http://www.beyondlogic.org/consult [...] ssutil.htm  
 
http://siri.urz.free.fr/Fix/SmitfraudFix.php


 
il est donc important de faire une distinction entre un "malware" (virus, dialer, trojan...) et un "risktool" qui n'est que potentiellmeent dangereux. SmitfraudFix a la capacité d'arrêter des processus afin d'effectuer ses suppressions sans gêne, voilà tout.
Des risktool il y en a beaucoup, comme par exemple l'utilitaire d'HP (terminator.exe)...
 
pour l'autre question :
 

Citation :

Que faisait ce fichier dans le repertoire windows ?


 
alors je crois bien que ce fichier process.exe est copié d'office dans system32. En fait pour éviter ça, il faut cliquer sur la touche Q lorsque tu quittes SmitfraudFix (menu en fenetre de commande) et ce fichier sera supprimé.
Tu peux supprimer ce fichier sans problème.
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed