|
|
 |
clambert$ clambert
29/08 :: 11:25
Anonyme
| |  J'ai Norton (version à jour) qui a détecté hier soir 28 sept 2003 ce virus alors que j'étais sur le net. Lobjet où il s'était logé est : windows:\winupdate.exe selon le logiciel Norton qui n'a pu le réparer (accès refusé à ce programme) et m'a fait le mettre en quarantaine.
Ma version de windows est XP professionnel pour PC.
A votre avis, ce virus était il déjà présent sur le PC avant lier soir ? Pouruoi Norton Antivirus ne l'a-t-il pas bloqué ?
Quelles sont les conséquences ? puis-je réparer ? dois je l'écraser ? (si c'est possible dans le dossier de quarantaine) et remplacer windows:\winupdate.exe par une copie du programme (quelle version convient ?
| |
|
habana$ habana
29/08 :: 11:43
Admin
| | Norton t'as averti lors d'un scan complet ou pas ?
Si tu peux ajouter le nom du trojan détecté | |
|
JokuHech$2003165 JokuHech
29/08 :: 12:39
Membre acharné
| | http://www.sophos.com/virusinfo/analyses/w32culta.html
??? Vérifier... | |
|
clambert$ clambert
29/08 :: 14:39
Anonyme
| |  Bonjour à vous, merci pour votre support.
Norton m'a averti alors que j'étais en navigation sur le net (et pas en action spécifique de scan) mais alors que les différentes actions de Norton étaient activées en permanence.
Le nom du virus détecté est : download trojan.exe (je ne sais plus s'il y a un espace ou un point entre download et trojan car je suis au bureau à la minute ou je vous écris.
Si vous pensez que c'est utile, je vous le précise ce soir.
Apparemment, il faudrait que je remplace le programme infecté (et mis en quarantaine) puis ledétruire, mais je dois vérifier sur mon PC la version exacte avant quand je reviendrai du bureau.
| |
|
clambert$ clambert
29/08 :: 15:11
Anonyme
| | Voici ce que j'ai trouvé sur Yacapa.com au sujet de
Virus Cult.B alias Lanet dont je crois avoir eu des symptômes dans mon courrier.
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.
Le message d'email a les caractéristiques suivantes:
Sujet: Hi, I sent you an eCard from BlueMountain.com
Message:
To view your eCard, open the attachment If you have any comments or questions, please visit http:/ /www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
Attachement: BlueMountaineCard.pif
Quand il fonctionne, il fait ce qui suit:
1. Se Copie lui-même comme %System%\Wuauqmr.exe. L'attribut de ce dossier est placé à caché.
NOTE: %System% est une variable. Le ver localise la dossier système et se copie à cet endroit. Par défaut, c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows XP).
2. Crée le fichier, %System%\Awqewqed.dll, qui est un ver de type MIME64-encoded. Le ver n'est pas en activité sous cette forme, ce n'est pas une menace, et les produits d'antivirus ne la détectent pas. Supprimez manuellement la menace si vous la trouvez.
3. Ajoute la valeur:
NvCpTdaemon wuauqmr.exe
aux clefs de registre:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
de sorte que le ver fonctionne quand vous demarrez Windows.
4. Crée le dossier, %System%\Jdfghtrg, et crée beaucoup de copies de lui-même dans ce dossier, en utilisant les noms de fichier que le ver porte. Quelques exemples:
SMS_sender.exe
DivX 5.03 Codecs.exe
Download accelarator.exe
PaintShop Pro 7 Crack_By_Force.exe
ZoneAlarm Pro KeyGen.exe
Winupdate.exe
5. Ajoute la valeur:
Dir0 012345:%System%\jdfghtrg \
à la clef de registre:
HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
de sorte que d'autres utilisateurs de KaZaA puissent télécharger les fichiers du ver de ce dossier.
6. Si le logiciel d'exploitation est Windows 95/98/Me, le ver s'enregistre comme processus de service, de sorte qu'il n'est pas visible dans la zone de dialogue.
7. Crée des noms réceptifs aléatoires et emploie les domaines suivants pour produire des adresses d'email:
Email.com
BellAtlantic.net
Verizon.net
Btinternet.com
Gmx.de
Gmx.net
sympatico.ca
wanadoo.fr
wanadoo.nl
planet.nl
adelphia.net
hotmail.com
earthlink.net
otenet.gr
chello.pl
chello.nl
8. Utilise des serveurs smtp dans une liste que le ver transporte pour s'envoyer lui-même à toutes les adresses d'email qu'il crée
9. Se relie aux URLs suivantes pour informer l'intrus:
chat.planet.nl
http://www.chat-planet.nl
10. Ouvre beaucoup de ports aléatoires TCP
Pour se désinfecter:
Mettre à jour son anti-virus
Scanner vos disques
Supprimer tous les fichiers détectés infectés par Cult.B
Supprimer manuellement %System%\Awqewqed.dll
Verifier et corriger les clés de la base de registre modifiées. | |
|
junior$ junior
21/10 :: 22:23
Anonyme
| |  quelqu un a trouver comment le réparer ??? | |
|
habana$ habana
22/10 :: 23:54
Admin
| | apprendre à lire ? | |
