Malekal_morte

Les scans au 08/06 Variante Mai Variante Juin

Nous sommes le 7 juin et les choses se corsent puisqu'une nouvelle variante vient de voir le jour surement car la majorité des antivirus détectent le ver. La variante de fin Mai ajouté le fichier : syshosts.dll La nouvelle variante ajoute le fichier : syshelps.dll Chacune de ces infections est installée par le fichier photos.zip téléchargé sur MSN via un message. La variante fin Mai sera nommé photos_syshosts.dll et la nouvelle sera nommée photos_syshelps.zip Je vais mettre en parallèle les détections pour que vous voyez l'évolution des détections des antivirus. Variante de Mai Variante de Juin

Salut, Je n'utlise pas Windows, jamais essayé mais je pense que ces deux programmes peuvent vous interresser : Windows Updates Downloader : http://www.libellules.ch/dotclear/index.ph...ates-downloader WinUpdatesList : http://www.libellules.ch/dotclear/index.ph...-winupdateslist

oui no prb ! Mais je disais surtout ça pour ceux qui allaient lire. Je veux surtout pas qu'ils comprennent : Antivir = méga giga antivirus, c'est bon on peux faire n'importe quoi.

Salut Pianiste, Le but ce n'est pas de trouver une configuration qui permet de surfer sur des sites de cracks ou pornographiques, cliquer sur n'importe quel lien sur MSN. Si tu as été infecté, c'est bien parce que tu faisais n'importe quoi et pas parce que tu utilisais Avast! Je veux signaler à ceux qui proposent Avast! à tout va dans tous les sens pour seule raison "il est bien, jamais eu de prb" que c'est vraiment pas une bonne solution à l'heure actuelle.

Faut aussi éviter de cliquer sur n'importe quel lien, surtout depuis MSN... Le scan au 06/06

Le scan au 05/06

Scan au 04/06 Un des fichiers composants l'infection :

Salut, Effectivement, il n'y a pas de scan lors de la réception pop. Mais normalement la protection en temps réel devrait lors de l'ouverture de la pièce jointe bloqué le code malicieux. Je vais essayer, je vous tiens au courant.

Je voulais pas qu'on me taxe de dire "C'est bon premier Antivir, le problème de virus est réglé". La cause des virus c'est bien l'activité sur internet... Maintenant pour la majorité les éduquer comme tu dis... je crois que c'est peine perdu.

Au 03/06, Antivir (et Webwasher-Gateway) ont intégré le vers dans leur signature, il était auparavant détecté par l'heuristic. Pendant ce temps le ver court, court et les sujets sur les forums de sécurités s'entassent

Je suis d'accord et c'est ce qui est écrit dans la page "sécuriser son ordinateur" en bas dans ma signature. Maintenant je pense pas avoir dit, c'est bon installez Antivir et allez faire la java sur le net Je suis d'accord que le problème principal est ce que l'on fait sur internet... l'infection n'arrive pas par enchantement (sauf dans les failles distantes). Je voulais dire 95% des logs que je fais, c'est avec Avast!... Maintenant je me casse plus la tête, je fais supprimer Avast! Je ne fais plus de scan en ligne. Je fais installer Antivir et scanner avec Antivir qui supprime tous les trojans non détectés par Avast!. Voila ce que j'ai compris au bout d'un an de désinfection : Je pense que bcp ne peuvent pas vivre sans leurs cracks & porno. Beaucoup reviennent.. malgrè les conseils. Et puis certains ne sont duppes... ils savent bien que c'est après être allé sur certains sites que l'infection a commencé... Donc : Je vais encore me répéter, le constat que je tire est très simple et je le vois tous les jours en voyant les dizaines de scans VT passer qui sont sur le lien que j'ai donné sur mon premier message. Avast! a un prb de réactivité.. ils sont très lents.. ce qui fait que les internautes qui font n'importe quoi sont vulnérables pendant la période où l'infection est mise en ligne et la prise en compte de l'infection par Avast! (quand c'est le cas), à mon avis c'est facile 5 à 10 jours. Après faut vérifier... Donc pour les personnes qui peuvent pas s'empécher de faire n'importe quoi, on peut juste limiter la casse et pour moi ça passe entre autre par le remplacement d'Avast! par Antivir. Pour moi un internaute est mieux protégé avec Antivir qu'avec Avast! point.

Bha si quand même, si les gens étaient sur Antivir, j'aurai moins de désinfections à faire Sinon un exemple concret sur ce post du temps de réaction d'Avast! plutôt longuet...: http://forum.zebulon.fr/index.php?showtopi...p;#entry1015844 Le vers MSN Backdoor.Win32.IRCBot.aaq a été découvert il y a 4-5 jours. Il n'est toujours pas intégré dans la base de définitions virale d'Avast! .... 4-5 jours c'est vraiment énorme. En plus nous somme le WE, donc il va falloir attendre à mon avis lundi. Pendant ce temps là, l'infection se répand, vous êtes vulnérable... Depuis deus-trois jours, il pleut des sujets pour ce vers sur les forums de sécurités... et nous devons aider les internet à se désinfecter...

Yop, Voila! Si tu voulais si Avast! le détectait aujourd'hui, à mon avis, tu peux attendre lundi. Les infections sortent souvent le WE.. les éditeurs de sécurités sont plus long à réagir (quand ils réagissent).

Source : http://www.malekal.com/Backdoor.Win32.IRCBot.aaq.php Backdoor.Win32.IRCBot.aaq/Backdoor:W32/IRCBot.ABO, Backdoor.Win32.IRCBot.aaq est un ver qui se propage par MSN ATTENTION : il est en pleine propagation, bcp de sujets dans les forums de sécurités! Les fichiers créés : - C:\windows\album.zip contenant le fichier photos album-2007-5-26.scr - C:\Windows\system32\syshosts.dll Les messages de transmissions : My friend took nice photos of me.you Should see em loL!", "hey regarde les tof, c'est moi et mes copains entrain de.... Français/Spanish version: hey regarde mes tof!! ma soeur a voulu que tu regarde ca! hey regarde les tof, c'est moi et mes copains entrain de.... j'ai fais pour toi ce photo album tu dois le voire tu dois voire ces tof mes photos chaudes c'est seulement mes tof zijn enige mijn foto's wanna Hey ziet mijn nieuw fotoalbum? Hey beindigde enkel nieuw fotoalbum! hey keurt mijn nieuw fotoalbum goed.. het voor yah, doend beeldverhaal van mijn leven lol.. meine hei en Fotos ! le mie foto calde mis fotos calientes mi fotografas Mi amigo tom las fotos agradables de m el lol mi hermana quisiera que le enviara este album de foto English version: Here are my private pictures for you Here are my pictures from my vacation My friend took nice photos of me.you Should see em loL! its only my photos! Nice new photos of me and my friends and stuff and when i was young lol... Nice new photos of me!! Check out my sexy boobs Scan du fichier : Le scan du fichier hier... Comme d'hab Avast! détecte pas... File: photos.zip Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 7c97248f7bc1652463c4e4b7f53b6486 Packers detected: - Scanner results Scan taken on 01 Jun 2007 17:40:33 (GMT) A-Squared Found nothing AntiVir Found HEUR/Crypted ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found Win32.HLLW.Sodoku F-Prot Antivirus Found nothing F-Secure Anti-Virus Found Backdoor:W32/IRCBot.ABO, Backdoor.Win32.IRCBot.aaq Fortinet Found nothing Kaspersky Anti-Virus Found Backdoor.Win32.IRCBot.aaq NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Rising Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing

@avives : mon avis est qu'il est utilisé à cause des résultats véhiculés par les comparatifs qui ne reflètent pas forcemment la réalité du terrain (voir mon premier post). Pour ta détection de virus récent, possible.. faut voir le nom et la date. Je précise une chose, l'important n'est pas d'avoir un super giga méga antivirus, l'important est de ne pas faire n'importe quoi sur internet. Je préfére qq avec Avast! qui ne télécharge pas de cracks et ne va pas sur des sites pornographiques, que quelqu'un avec Antivir et qui fait tout ça. Un petit scan pour vous montrer la différence.. de détection entre Avast! et Antivir. Ce sont des fichiers issues d'infection que vous pouvez contracter maintenant et pas des infections d'il y a un mois ou un an qui ne sont plus en circulation... comme doivent le faire la majorité des comparatifs. Les fichiers ont à tout péter un semaine.

Tu n'es pas sur un compte administrateur de la machine ? Ca expliquerait pourquoi tu dois refaire la manip pour le registre..

Essaye de passer un coup de WinsockFix : http://www.softpedia.com/get/Tweak/Network...inSockFix.shtml

Bonjour, Pour ceux qui ne me connaissent pas (et tant mieux pour vous...), je suis mod dans la partie sécurités/virus de ce forum. Je fais donc pas mal de désinfections quotidienne. Pour en revenir au titre ce post, je viens surtout vous parler d'Avast! C'est un antivirus qui *malheureusement* très utilisé par les internautes, d'une part car il est gratuit, d'autre part surement parcequ'il est en français. Pour ma part, je pense qu'Avast! n'offre pas les protections adequates, ce que j'ai essayé de démontre dans les liens plus bas. Il en résulte pour les personnes qui font *n'importe quoi* sur internet, j'entends : - ouvrir le premier lien qui leur tombe sur la main (surtout sur MSN). - faire du P2P - télécharger ou aller sur des sites de cracks - surfer sur des sites pornographiques. Pour moi Antivir est bcp bcp plus performent. Tout ça pour vous dire, même s'il est en anglais, je vous conseille très franchement de désinstaller Avast! au profit d'Antivir. On aurait vraiment moins de boulot dans la partie sécurité rien qu'en faisant cela, si après vous pouviez éviter certains sites et prendre de bonnes habitudes ! J'ai fait deux mini-tutos qui montrent les lacunes d'Avast! Je vous invite très vivement à lire ces posts et à vous poser la question, Avast! protège-t-il vraiment votre ordinateur? Un point sur les antivirus : http://forum.malekal.com/ftopic3123.php Antivir VS Avast! http://forum.malekal.com/ftopic3528.php 15 jours pour intégrer une infection plus que répandue : http://forum.zebulon.fr/index.php?showtopic=123168 Pour ceux qui prendissent les résultats de certains comparatifs antivirus, je répondrai ceci : Tester des antivirus avec un très grand nombre de malwares souvent vieux et les infections +1 mois, 1 an ? masquent les résultats des tests des infections (et surtout les droppers) que l'on trouve à l'instant présents sur les sites WEB pourris. Je veux dire par là, il y a quand même de grande chance que la majorité des antivirus détectent des infections vieille d'un mois et surtout un an puisques les éditeurs sécurités ont eu le temps de récupérer le sample et l'intégrer ce qui n'est pas forcemment le cas des infections présentes sur les sites WEB à l'instant présent qui sont très souvent mises à jour par les auteurs de malwares afin de s'assurer une longueur d'avance sur les éditeurs de sécurités. Dautre part, en général, les comparatifs d'Antivirus sur les sites/magazines français ne testent pas la réactivités des antivirus. Comme vous ne connaissez généralement pas le compte tenu des mises à jour, vous ne savez pas combien de temps mets votre antivirus pour intégrer de nouvelles infections. Or, c'est un point TRES important puisque c'est la période pendant laquelle vous n'êtes protégé. Enfin pour ceux qui diront, J'ai Avast! et j'ai jamais eu de prb : Voila une des réactions qui fait qu'on "refourgue" Avast! a ses amis. Je ne vais pas t'attaquer au contraire, c'est une bonne chose pour toi! Tu en as déduis qu'Avast! est un bon antivirus car tu as eu aucun problème de virus sur ton ordinateur, c'est déjà assez réducteur. Si tu regardes.. les posts sur les forums de sécurités (pas sur Zeb), tu verras que 90-95% des gens qui postent ont Avast! Certes, c'est peut-être qu'il est répandu... néanmoins ça prouve très bien qu'il ne protège en rien un système. Le dernier tuto est en l'illustration. Migrer d'Avast! à Antivir : http://forum.malekal.com/ftopic4192.php

Installe ---> Installe ZoneAlarm Vire le fichier win32.bat s'il est revenu.

C'est OK en suivant les dernières manipulations ci-dessous Essaye de rapporter ton infection sur le site que je te donne ci-dessous, ce serait super cool Ton infection : virtumonde Finir le nettoyage : - Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP - Tu peux ensuite désinstaller tous les programmes que l'on a utilisé. je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection : Pour les utilisateurs d'Avast! Vous n'êtes pas protégé en utilisant Avast!. Antivir est vraiment très performant, c'est pourquoi, je te conseille d'opter pour cet antivirus qui est gratuit (surtout si tu as Avast!), voici le tutorial d'Antivir : http://www.malekal.com/tutorial_antivir.php Pour plus d'informations, voici un petit comparatif : http://forum.malekal.com/ftopic3123.php Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces Je t'invite aussi à mettre à jour tous les composants de ton système - Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php Faire bouger les choses : Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection : - Voir les règles de Malware-Complaints - Enregistre sur le forum à partir du bouton register en haut : Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4 Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10 Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic. Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

Suis la procédure avec navilog1 décrite ici : http://www.malekal.com/Adware.Magic_Control.html Cette procédure doit être suivie à la lettre. Pour la partie éradication, la suite de lettres est : wobtgpqean Merci de copier/coller les rapports obtenus en suivant la procédure.

Oui le SP1 a des failles mais tu as un pare-feu. Tu es allé sur quel genre de sites dernièrement ?

Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : http://forum.malekal.com/ftopic3123.php Clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : http://www.malekal.com/tutorial_antivir.php - Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion. -- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier. - Cliquez sur l'onglet Scanner. - Sélectionne Manual Selection - Sélectionne le disque C - Lance le scan - Mets en quarantaine tous les éléments détectés. - Une fois le scan terminé Enregistre le rapport. Redémarre en mode normal. Poste le rapport ici.

Sur HijackThis, coche ces lignes : O2 - BHO: (no name) - {E0948305-245B-46EC-9647-7EFC4970DC96} - C:\WINDOWS\system32\eghxtkht.dll ---> clic sur fix checked Redémarre l'ordinateur -- Ouvre le poste de travail -- Clic sur le menu outils en haut à droite puis options des dossiers -- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut -- Coche dans la liste "Afficher les fichiers cachés" -- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" -- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Supprime : C:\WINDOWS\system32\eghxtkht.dll C:\DOCUME~1\PROPRI~1\APPLIC~1\BitDownload C:\Program Files\BitDownload Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut". Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut". Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..). Scan en ligne avec Kaspersky : - Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!. - Si tu es perdu, tu peux suivre cette aide pour les scans en ligne - Scan le poste de travail - Copie/colle le rapport du scan ici Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda : - Fais un scan avec panda en désactivant ton antivirus pendant le scan! (Si tu es perdu, tu peux suivre cette aide pour les scans en ligne) - Copie/colle le rapport panda ici