Malekal_morte

créé un sujet pour ce vers, sinon ça va être ingérable! le scan aujourd'hui...... no comment.

La version WebCam est moins interressante car moins de variante. Pour les curieux voir : http://www.malekal.com/webcam_00002.com_IM...n32.Sohanad.php ----------------------- Je vous mets le scan de la nouvelle variante du ver MSN (variante acd) du dimanche 1er. Encore une fois Antivir l'intègre mais pas Avast!. Si vous regardez la date de sortie de la variante précédente, vous verrez qu'elle est aussi sortie le 1er du mois. Ensuite vers le 15 du mois une nouvelle variante est sortie. Je pense que l'auteur sort une variante tous les 15 jours (on va le vérifier facilement le 15 de ce mois). Etant donne qu'Avast! met environ 15 jours pour intégrer la variante, cela signifie qu'Avast! aura toujours une variante de retard soit donc la dernière en circulation. Les utilisateurs Avast! ne seront donc jamais protégés. Je vais essayer de faire des scans régulièrement pour vérifier cela. Je vous laisse imaginer ce que ça peut donner sur des infections qui sont mises à jour toutes les semaines.

Salut, Infection Magic.Control les antivirus/antispywares ne peuvent rien. Suivre la procédure de ce lien : http://www.malekal.com/Adware.Magic_Control.php En cas de prb, demandez de l'aide dans la partie Rapport HijackThis du forum.

Pour se désinfecter, suivre la procédure de cette page : http://www.malekal.com/Backdoor.Win32.IRCBot.acd.php Nouvelle variante : créé les fichiers * C:\windows\myalbum2007.zip * C:\Windows\system32\sysprinters.dll Ajoute la ligne suivante sur HijackThis : * O21 - SSODL: system32 - {B5EE0439-8B9A-41CC-87D4-C009A5C9C05A} - sysprinters.dll Scan au 01 Juillet :

oui les hosts hébergeants le fichier sont down. Sinon un autre... récent. Mais rien à voir avec celui-ci...

Carton rouge à BitDefender. Avast! tjrs à la traîne..

On voit les plus réactifs et aussi les moins..

information prise sur cette page, vous y trouverez la procédure pour vous désinfecter : http://www.malekal.com/Trojan-Downloader.Win32.Agent.btu.php Trojan-Downloader.Win32.Agent.btu est un ver qui se propage par MSN. L'infection affiche des messages pour vous faire télécharger des photos.. qui n'en sont pas et qui installent l'infection. Le message de propagation envoyé aux contacts MSN : ben jij dat op deze foto? http://www.hothotpics.com/photo8.php is that you on this photo http://www.******.net/photo26.com is that you on this photo www.hot hotpeople.net/photo894.php créé les fichiers et entrée : hxxp://wastecontainer.org/mon.doc call.exe Dropper.Win32.Agent hxxp://wastecontainer.org/bla.doc services.exe Trojan.Win32.Autoit.am L'infection installe : Win32:VBStat-c / Trojan-Spy.Win32.VBStat.c / Virtumonde / Msevents / Trojan.vundo Le scan : File: photo8.com Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: 82804519654440ab75da5751c864f4c8 Packers detected: - Bit9 reports: Not analyzed yet (more info) Scanner results Scan taken on 26 Jun 2007 00:22:45 (GMT) A-Squared Found nothing AntiVir Found HEUR/Crypted ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Backdoor.Win32.Agent.aml NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found Trj/Downloader.PDC Rising Antivirus Found nothing VirusBuster Found nothing VBA32 Found Trojan-Downloader.Win32.Agent.btu Comme d'habitude, les utilisateurs Avast! ne sont pas protégés, voir ce sujet : http://forum.zebulon.fr/index.php?showtopic=123053

Si tu n'as plus accès administrateur, on ne pourra rien faire. Regarde là : http://www.laboratoire-microsoft.org/articles/win/admin_pwd/

Je n'ai pas trop d'avis étant donné qu'il n'est pas sur VT (virustotal) mais je pense qu'il vaut mieux avoir Active Virus Shield qu'Avast!.

Info sur : http://www.malekal.com/Win32.Stration.worm....Warezov.lp.php Comme d'habitude.. les utilisateurs Avast! ne sont pas protégés - C'est pourquoi il est recommandé de remplacer Avast! par Antivir, voir ce lien : http://forum.zebulon.fr/index.php?showtopic=123053 Les messages de transmissions : I'm out fishing. That was awesome. Here are my pictures. hxxp://27030.caseduntionkinshides.com/99/524/ hxxp://28630.herunjdinkinmasde.com/99/6705/ Cela fait télécharger un fichier pif3.pif qui installe l'infection. Scan des fichiers : Scan au 20 juin :

Avast! a intégré la dernière variante de Backdoor.IRCBot.aaq (probablement hier). Comme par hasard, aucun sujets de ver MSN hier..... Nous sommes le 20 juin, la variante est sorti le 7. Comme la première, il a fallu environ 15 jours pour l'intégrer. Je trouve ça INADMISSIBLE voir : http://forum.zebulon.fr/index.php?showtopic=123168&st=15

Nous somme le 20 juin. Avast! a *enfin* intégré la variante de Juin dans sa définition virale (il a dû le faire probablement hier étant donné que nous n'avions plus de sujets MSN sur les forums de sécurité). Globablement il aurr fallu une bonne quinzaine de jours à Avast! pour intégrer sa variante. Quinzaine jours durant lesquels les utilisateurs de cette antivirus, plus que nombreux, n'étaient pas protégés, quizaines jours pendant lesquels une bonne partie ont été pris en charge sur les forums de sécurités. Quinze jours, c'est vraiment ENORME en matière de sécurités. Il faut savoir que les infections sont mises à jour par les auteurs de malwares tous les WE (en général le dimanche, lorsque la majorité des employés des éditeurs de sécurités sont en congés afin de gagner du temps). Avast! est pourtant l'antivirus le plus utilisé par les internautes français. Pour ma part, il n'offre pas une protection efficace, c'est pour cela que je ne le conseille pas, voir ces deux sujets : - http://forum.malekal.com/ftopic3528.php - http://forum.zebulon.fr/index.php?showtopi...75&start=75 Variante de Mai :

Pas de réél changement. Variante de Mai : ________________ Variante de Juin :

Salut, T'as bien raison !

Depuis quelques jours, plusieurs mails de Spams avec des url se terminant par hk sont envoyés. Ces urls une fois ouverte exploitent les vulnérabilités MS05-052, MS06-014, MS06-072, MS07-017 afin d'executer des fichiers installant le rootkit Win32.Packed.Tibs.R windev-*.sys Les mails : Les sujets des mails : Le corps des messages : Exemple : Les scans des fichiers : A l'heure où ce post est fait les utilisateurs Avast! ne sont pas protégés (ce qui n'est pas le cas des utilisateurs Antivir) Ceci a permis d'ajouter un test "four" sur la page Avast! VS Antivir Source : http://www.cisrt.org/enblog/read.php?115

talice, merci de créer ton sujet.

Avast! détecte (enfin) la variante de Mai (syshosts.dll) à compter d'aujourd'hui. Il leur a fallu 15 jours pour l'ajouter dans la base de données des signatures. Dommage elle est plus en circulation, vu que c'est maintenant syshelps.dll qui a pris le relai depuis plusieurs jours : http://forum.zebulon.fr/index.php?showtopi...d=1023448 Les utilisateurs Avast! ne sont donc tjrs pas protégés, les sujets sur les forums de sécurités pour cette infection continuent d'affluer.

14/06 : Evolution interressante. Avast! détecte la variante de Mai en Win32:Ircbot-BXD. Il aura donc fallu 15 jours pour intégrer cette variante, 15 jours pendant lesquels les utilisateurs Avast! n'ont pas été protégé. Malheureusement, cette variante, au vu des sujets sur les forums de sécurités ne semblent plus ou très peu en circulation, c'est la variante de Juin qui est maintenant répandu. Malheureusement Avast! ne le détecte toujours pas (voir scan plus bas).. Les utilisateurs Avast! ne sont donc pas protégés. Une des raisons pour lesquels, je ne recommande pas cette antivirus qui est trop long en terme de réactivité, voir sujet Avast! VS Antivir Variante de Mai Variante de Juin

Non pas besoin. C'est OK, tu n'es plus infecté en suivant les dernières manipulations ci-dessous et lire ATTENTIVEMENT ce qui suit Essaye de rapporter ton infection sur le site que je te donne ci-dessous, ce serait super cool Ton infection : Baggle Finir le nettoyage : - Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP - Tu peux ensuite désinstaller tous les programmes que l'on a utilisé. je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection : Pour les utilisateurs d'Avast! Vous n'êtes pas protégé en utilisant Avast!. Antivir est vraiment très performant, c'est pourquoi, je te conseille d'opter pour cet antivirus qui est gratuit (surtout si tu as Avast!), voici le tutorial d'Antivir : http://www.malekal.com/tutorial_antivir.php Pour plus d'informations, voici un petit comparatif : http://forum.malekal.com/ftopic3123.php Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces Je t'invite aussi à mettre à jour tous les composants de ton système - Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php Faire bouger les choses : Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection : - Voir les règles de Malware-Complaints - Enregistre sur le forum à partir du bouton register en haut : Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4 Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10 Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic. Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

Bizarre, ça marche bien d'habitude Bon on va faire autrement. Relance un Scan BlackLight comme fait plus haut. ensuite une fois la liste des fichies détectés, sélectionne ces fichiers : C:\WINDOWS\system32\hldrrr.exe c:\WINDOWS\system32\wintems.exe c:\Documents and Settings\Jm\Application Data\hidires\hidr.exe c:\Documents and Settings\Jm\Application Data\hidires\m_hook.sys Tu laisses appuyer sur la touche CTRL et tu clics sur chaque fichier, ça va les surligner. Clic sur rename. Ca va ouvrir une fenetre, coche la case en bas pour le rémarrage, fais OK et l'ordinateur va redémarrer. Refais un scan BlackLight et poste le rapport ici.

SpytBot ne te sauvera pas. Suis la procédure avec ELIBAGLA de cette page : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php Poste le rapport ELIBAGLA Ensuite : Sur Hijackthis coche cette ligne : O4 - HKLM\..\Run: [avast!] E:\APPLIC~1\Avast4-7\ashDisp.exe --> clic sur fix checked Redémarre l'ordinateur Supprime : E:\APPLIC~1\Avast4-7\ Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : http://forum.malekal.com/ftopic3123.php Clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : http://www.malekal.com/tutorial_antivir.php - Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion. - Assure toi qu'Antivir est bien à jour, vérifie la date d'update. - Ouvre Antivir par le menu Démarrer / Programmes - Cliquez sur l'onglet Scanner. - Sélectionne Manual Selection - Sélectionne le disque C - Lance le scan - Mets en quarantaine tous les éléments détectés. - Une fois le scan terminé Enregistre le rapport. Redémarre en mode normal. Poste le rapport ici.

Salut, Bha Avast! est une passoire... Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml - Clic en bas sur "I accept" - Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download. - Lance-le en double-cliquant sur le fichier blbeta.exe - Accepte la licence, et clique enfin sur "Scan" puis Next et exit. - Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe - Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela : - Menu Edition / copier - ici dans un nouveau message : clic droit / coller Aide : Tu peux consulter le tutorial de F-Secure BlackLight

Salut; Désinstalle dans ajout/suppression de programmes : DriveCleaner IMPORTANT installes ZoneAlarm Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. -- Ouvre le poste de travail -- Clic sur le menu outils en haut à droite puis options des dossiers -- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut -- Coche dans la liste "Afficher les fichiers cachés" -- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" -- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Supprime : C:\Program Files\Fichiers communs\DriveCleaner Free\ Déroule la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse ________ - Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml - Double-clique VundoFix.exe afin de le lancer. - Clique sur le bouton Scan for Vundo. - Lorsque le scan est complété, clique sur le bouton Remove Vundo. - Une invite te demandera si tu veux supprimer les fichiers, clique YES - Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. - Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK - Démarre ton PC à nouveau. - Copie/colle le contenu du rapport situé dans C:\vundofix.txt Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". C:\Documents and Settings\Merlo\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe <-- renomme le en scanner.exe double-clic dessus et poste un nouveau rapport Hijackthis.

Le 13 juin tjrs pas détecté par Avast! Variante de Mai ET : Variante de Juin