Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Virus]W32/Xorala

tangui

Par tangui
dans Internet & Réseaux

 Partager

Messages recommandés

tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

j'ai viré un virus qui était sur mon ordi: W32/Mumu-C. Ce virus installe:

  • LAST.EXE, détecté comme étant Troj/BGirlB-A
  • KAVFIND.EXE, détecté comme étant Troj/Hacline-B
  • IPCPASS.TXT, un fichier inoffensif utilisé par Troj/Hacline-B
  • PSEXEC.EXE, un utilitaire réseau légitime

J'ai tout viré. Mais a chaque démarrage, j'ai une fenetre qui me dit:

 

le fichier 'psexec' (ou un de ses composants) est introuvable; Vérifiez le chemin (...)

Pourtant, j'ai regardé dans ma bdr ou bien dans msconfig si j'appelais ce fichier, mais je ne l'appelle nul part... comment que je fais??

tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

que dalle :P

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir Tangui, Y@kuz@, bonsoir à tous,

 

 

-> http://gerard.melone.free.fr/IT/IT-Startup.html#1

Va voir cette page! il y a les endroits où on peut caser les programmes à lancer au démarrage de Windows... et donc les malwares !

Il convient de compléter la page par un examen soigneux des répertoires "Démarrage" et, en particulier, celui de "All Users", même en Ws98 sans profil car c'est bien la méthode utilisée par BugBear.B !

 

Bonne chance !

Y@kuz@ Godlike Member

Y@kuz@

Posté(e)
Posté(e)

Salut ipl_001, bien pratique ton lien :P

 

bon tangui regardes dans ces clès ==>

 

Démarrer/Exécuter/tape Regedit, puis clique sur OK... déroule les structures ci-dessous :

 

- HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run (de même RunOnce)

 

- HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\RunServices (de même RunServicesOnce)

 

- HKEY_LOCAL_MACHINE\Software\CLASSES\Software\

Microsoft\Windows\CurrentVersion\Run

 

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run (de même RunOnce et RunOnceEx)

 

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunOnce/Setup

 

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunServices (de même RunServicesOnce)

&

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\

CurrentVersion\Run (de même RunOnce)

 

( "Runonce" juste à côté des "Run" mais comme le nom l'indique, c'est seulement pour la première fois -installation- mais souvenez vous que Nimda n'arrêtait pas de modifier Runonce pour être à nouveau relancé à chaque démarrage !!!

tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

j'avais fait une recherche dans la base de registre, et je n'avais rien trouvé...

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir Tangui, Y@kuz@, bonsoir à tous,

 

As-tu examiné les 8 pistes ( http://gerard.melone.free.fr/IT/IT-Startup.html#1 ) ?

N'oublie pas le démarrage "All Users" (méthode de Bugbear.B).

Attention, tu ne trouveras pas le nom du virus en clair dans la base de registres... il te faut chercher un programme inconnu !

Tu commences à bien connaître les programmes habituels... pour ceux que tu ne connais pas, intéresse toi au nom du répertoire, etc. fais ta petite enquête en t'aidant au besoin, des liens qui parlent de "listes de programmes au démarrage" ( http://gerard.melone.free.fr/IT/IT-Startup.html#2 -de William C.Krick/Sylvain à StartupList (Spywareinfo)-)

 

- Ma liste de 8 manières est bien complète...

- Si tu trouves une autre manière que les _ listées, pour lancer un programme au démarrage, je serai ravi de compléter !

- n'oublie pas que les programmes des dossiers "Démarrage" ne sont pas dans la base de registres !

- Un conseil : supprime bien les Temp et TIF (les malwares placent souvent leurs éléments là).

 

Dieu merci, jusqu'à maintenant, les malwares n'ont pas utilisé les pilotes pour lancer leur trucs...

 

Tiens nous au courant !

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir tangui,

 

Petite précision supplémentaire...

 

- tu ne trouveras sûrement pas 'psexec' dans la registry ou les fichiers .ini ! souvent, il y a des fichiers intermédiaires : un fichier appelé dans la registry qui lui-même charge psexec.

 

Intéresse-toi à tous les programmes dont tu ne connais pas le nom !

 

Encore une fois... heureusement que, pour le moment, les créateurs de malwares n'ont pas utilisé des noms de fichiers familiers (à part un qui implantait un Kernel32.quelquechose)

 

Bonne chance !

tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

C'est ce que je pense... je vais devoir tester tout mes programmes qui s'executent au démarrage.... :-(

merci de vos aides :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...