Forums Zebulon.fr: Infection par le processus Microsoft.exe - Forums Zebulon.fr

Aller au contenu

Page 1 sur 1

Infection par le processus Microsoft.exe (Mise à jour le 01/04/2007) Noter : -----

#1 L'utilisateur est hors-ligne   Nicolas Coolman 

  • Responsable FAQ
  • Voir le blog
  • Groupe : Responsable FAQ
  • Messages : 9007
  • Inscrit(e) : 17-septembre 04

  Posté 31 mars 2007 - 08:46

Image IPB Infection par le process Malware Microsoft.exe
Le processus microsoft.exe pourrait de part sa consonnance apparaître comme légitime, en fait il n'en est rien. Une multitude de virus, vers ou trojans viennent se greffer sur les répertoires système. Leurs actions sont toutes ciblèes en priorité vers une infection au démarrage du système. Certains d'entres eux vont même jusqu'à "forcer" le système à redémarrer. Le processus pollue les entrées de démarrage de la base de Registre sous 21 noms d'entrées différents, mais Il y en a sûrement d'autres.


Image IPB Les branches de Base De Registres concernées
Les injections d'entrées se font généralement dans les branches suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\


Image IPB Liste des entrées injectées dans la Base De Registres
Voici la liste non exhaustive de ces entrées de Base de Registre avec entre parenthèse le malware qui l'a injecté lorsque celui-ci est connu :
  • blah service (variante du ver RBOT (aka WIN32.RBOT)
  • Configuration Loader (ver GAOBOT.JB)
  • Configuration Loader ( ver W32/Gaobot.ED, variante de W32/Gaobot.AO)
  • Dcom System Patch (ver RANDEX.MS)
  • hptools ( variante du ver SDBOT)
  • Internet
  • Jufualt
  • Microsoft
  • Microsoft Executing (ver AGOBOT.UV)
  • Microsoft Gay
  • Microsoft Office (trojan BANKER-VF)
  • Microsoft service (trojan Backdoor.SdBot.aad)
  • Microsoft Synchronization Manager (ver W32/Sdbot-OM)
  • Microsoft Update (ver W32/Gaobot.gen.H, Aka W32.GaoBot.AFJ)
  • Microsoft Update (WIN32/AGOBOT.3.XY)
  • Microsoft Update (trojan LMIR.A)
  • Microsoft Update (trojan Agobot-IB)
  • Microsoft Update (trojan PWSLmir-F)
  • Microsoft Update (trojan Bancos-ALY)
  • Microsoft Update (virus DDoS.RAT.rBot)
  • Microsoft Update 32 (trojan LMIR.A)
  • msn
  • sdktemp (ver SDBOT.CGM)
  • ShellCode
  • ShellWindoW
  • startkey
  • systam32
  • System


Image IPB Autres injecteurs
Voici d'autres vers ou parasites qui injectent le processus Microsoft.exe et pour lesquels je n'ai pas d'information sur le nom de l'entrée en BDR.
- le ver Win32/Fantasy,
- le parasite W32/Parved.


Image IPB Microsoft.exe (blah service)
Ce processus est enregistré par une variante du ver RBOT (aka WIN32.RBOT).
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\blah service


  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [blah service] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (Configuration Loader)
Ce processus est enregistré par le ver GAOBOT.JB ou le ver W32/Gaobot.ED ou le ver W32.HLLW.Gaobot.JB (variante de W32.HLLW.Gaobot.BF). Il exploite la vulnérabilité des failles de securité LSASS. Il crée un buffer overflow afin d'obliger un redémarrage du system. Une fois installé, une connexion par canal IRC (Internet Relay Chat) est mise en place. Il participe à des attaques par denis de service distribué (DDoS). Il envoie des données via le port 135 et exploite la faille de vulnérabilité RPC DCOM. Il tente de diminuer en priorité la sécurité du système en désactivant les processus de protection antivirus et parefeu.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Configuration Loader


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Configuration Loader] Microsoft.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe



Image IPB Microsoft.exe (Dcom System Patch)
Ce processus est enregistré par le ver RANDEX.MS.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dcom System Patch


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Dcom System Patch] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (hptools)
Ce processus est enregistré par le ver HDBOT.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hptools


  • Informations HijackThis :
    O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe
    O4 - Global Startup: Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe
    C:\WINDOWS\MEDIA\microsoft.exe


Image IPB Microsoft.exe (Internet)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internet
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Internet


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Internet] Microsoft.exe
    O4 - HKLM\..\RunServices: [Internet] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


Image IPB Microsoft.exe (Jufualt)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jufualt


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Jufualt] microsoft.exe
    O4 - HKCU\..\Run: [Jufualt] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (Microsoft)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft] Microsoft.exe
    O4 - HKCU\..\Run: [Microsoft] Microsoft.exe
    O4 - Global Startup: Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe


Image IPB Microsoft.exe (Microsoft Executing)
Ce processus est enregistré par le ver AGOBOT.UV.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Executing


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunOnce: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


Image IPB Microsoft.exe (Microsoft Gay)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Gay
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Gay


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Gay] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Gay] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe


Image IPB Microsoft.exe (Microsoft Office)
Ce processus est enregistré par le trojan BANKER-VF. Il peut bloquer le démarrage ou l'initialisation des logiciels du pack "Microsoft Office".
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Office


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (Microsoft service)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft service
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft service


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft service] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft service] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe


Image IPB Microsoft.exe (Microsoft Service)
Ce processus est enregistré par le trojan Backdoor.SdBot.aad. Il s'installe en tant que service sous le nom "Microsoft Service". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".
  • Informations HijackThis :
    O23 - Service: Microsoft Service - Unknown owner - C:\WINDOWS\microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe


Image IPB Microsoft.exe (Microsoft Synchronization Manager)
Ce processus est enregistré par le ver W32/Sdbot-OM.
  • Valeurs ou clés de Base de Registres :
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Synchronization Manager
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le ver GAOBOT.AFJ (aka W32/Gaobot.gen.H.) ou le ver AGOBOT.IM ou le ver WIN32/AGOBOT.3.XY. Il exploite la vulnérabilité des failles de securité LSASS.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan Agobot-IB. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


  • Fichiers associés
    system32.exe, windows.exe


Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan PWSLmir-F. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update


  • Informations HijackThis :
    O4 - HKLM\..\RunOnce: [Microsoft Update] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


  • Fichiers associés
    Fuckyou.exe


Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan Bancos-ALY.
  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe


Image IPB Microsoft.exe (Microsoft Update 32)
Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update 32
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update 32


  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update 32] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe


Image IPB Microsoft.exe (msn)
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msn


  • Informations HijackThis :
    O4 - HKLM\..\Run: [msn] C:\WINDOWS\Microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe


Image IPB Microsoft.exe (sdktemp)
Ce processus est enregistré par le ver SDBOT.CGM ou le ver W32.HLLW.Gaobot.JB. Il s'installe en tant que service sous le nom "sdktemp". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".
  • Informations HijackThis :
    O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe


Image IPB Microsoft.exe (ShellCode)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellCode


  • Informations HijackThis :
    O4 - HKLM\..\Run: [] C:\WINNT\System32\dir2\MicroSoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\dir2\MicroSoft.exe


Image IPB Microsoft.exe (ShellWindoW)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellWindoW


  • Informations HijackThis :
    O4 - HKLM\..\Run: [ShellWindoW] C:\WINDOWS\System32\internet\MicroSoft.exe
    O4 - HKLM\..\Run: [ShellWindoW] C:\WINDOWS\System32\win99\MicroSoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\internet\MicroSoft.exe
    C:\WINDOWS\System32\win99\MicroSoft.exe


Image IPB Microsoft.exe (systam32)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systam32


  • Informations HijackThis :
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Sotwyb\MicroSoft.exe


  • Dossiers d'installation
    C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    C:\WINDOWS\System32\Sotwyb\MicroSoft.exe



Image IPB Microsoft.exe (System)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System


  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [System] microsoft.exe
    O4 - HKCU\..\RunServices: [System] microsoft.exe


  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe



Image IPB
Index de traitement des infections

Ce message a été modifié par coolman - 01 avril 2007 - 09:36 .

Amicalement
Nicolas Coolman

http://www.premiumor...cess/index.html
http://nicolascoolman.skyrock.com/
0

PUBLICITÉ

  • Annonces Google
Inscrivez-vous au forum gratuitement et profitez de nombreux avantages !
Page 1 sur 1

Réponse rapide

Ce message doit être accepté par un modérateur avant d'être affiché.
  

Similar Topics
  Sujet Commencé par Statistiques Infos sur le dernier message
Sujet ouvert (nouvelles réponses) BlueScreen aléatoire lors de la mise en veille Nenuphar  
  • 9 réponses
  • 176 vues
Sujet chaud (nouvelles réponses) [Résolu] Mise à jour Windows Update en continu fbouba 
  • 17 réponses
  • 519 vues
Sujet chaud (nouvelles réponses) [Résolu] Infection détectée sous Windows Vista
Problème d'installation d'office 2010 		mc guill 
  • 37 réponses
  • 1259 vues
Sujet ouvert (nouvelles réponses) Problème processus ! JeanP 
  • 0 réponses
  • 105 vues
Sujet chaud (nouvelles réponses) [Résolu] Mises à jour Windows récalcitrantes
Dès qu'installées, elle reviennent à la charge ! 		Dylav 
  • 34 réponses
  • 1315 vues
Sujet ouvert (nouvelles réponses) Erreur mise à jour b noel 
  • 10 réponses
  • 267 vues
Sujet ouvert (nouvelles réponses) Office 2007 me tue Arnaud 
  • 5 réponses
  • 227 vues
Sujet ouvert (nouvelles réponses) Aide pour contrôle si infection + problème Avira jp9905 
  • 12 réponses
  • 618 vues
Sujet ouvert (nouvelles réponses) Processus gestionnaire de tâches eden  
  • 5 réponses
  • 174 vues
Sujet ouvert (nouvelles réponses) Infection Smart Fortress 2012 mattam 
  • 0 réponses
  • 210 vues

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)



    Page officielle Zebulon.fr