Worm/Rbot.pd, qui c'est celui là?

Fermé
Un débutant - 24 sept. 2004 à 19:34
 Un débutant - 25 sept. 2004 à 09:44
Bonjour à tous!
En ouvrant l'antivirus ANTIVIR, il fait un mini scan. Il ne me détecte rien. Il me demande de faire un update. Donc je fais un update. Ensuite je rouvre ANTIVIR et il me refait un mini scan et là, il découvre le virus Worm/Rbot.pd dans:
C/Windows/system32/windows.exe

C'est un nouveau virus? ANTIVIR ne l'a pas détecté la première fois car il ne le connaissait pas? La deuxième fois, il a été informé pas l'update?

ANTIVIR, m'a demandé de supprimer le fichier, donc je l'ai supprimé en espérant que windows.exe ne soit pas important. (sinon, j'ai fais une sauvegarde du fichier sur une disquette).

J'ai également testé, le fichier en question par AVAST4 et il n'a rien trouvé. Le fichier est clean. ANTIVIR n'est il pas un peu trop sensible?

4 réponses

Utilisateur anonyme
24 sept. 2004 à 20:05
salut t'as bien fait de supprimer le fichier c'etait bien un virus :-)

voila ce que j'ai trouver sur google concernant windows.exe
http://www.liutilities.com/products/wintaskspro/processlibrary/windows/
http://www.sophos.fr/virusinfo/analyses/w32aparta.html

@+++++++
0
Un débutant
24 sept. 2004 à 21:35
Merci du renseignement, Jess 15.
Vu ce que tu montres, le virus a l'air d'être assez méchant. Sur le site:
http://www.sophos.fr/virusinfo/analyses/w32aparta.html
ils disent que le virus fait aussi trojan et sur
http://www.liutilities.com/products/wintaskspro/processlibrary/windows/
c'est carrément la catastrophe!!!!!!

Sinon, j'ai lu le descriptif du virus sur http://www.sophos.fr/ et ils disent que le virus essaye d'effacer dans la base de registre les entrées suivantes:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskschd
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LTM2
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32 Rundll Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Configuration Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinDSNX
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinLoader
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WHVLXD
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskReg
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Diagnostic

J'ai été voir dans le registre (menu Démarrer=>exécuter=>regedit) et justement ces dernières entrées n'y sont pas. Par contre je sais pas si elles étaient présentes avant. C'est mauvais signe?
0
Utilisateur anonyme
24 sept. 2004 à 22:34
salut si ca peu te rassurer moi aussi j'ai pas c entrées dans le registre :-) et j'ai le windows xp

tu deverai peu etre essayer les procedure de desinfection comme indiquer sur ce site http://www.sophos.fr/virusinfo/analyses/w32aparta.html . n'oublie pas de faire un back up du registre avant de supprimer quoi que ce sois ;-)
bonne chance

@++++++++
0
Un débutant
25 sept. 2004 à 08:41
C'est ce que j'ai fait. J'ai appliqué la méthode que préconise sophos.fr mais je n'ai rien trouvé de suspect. Il n'y avait pas d'entrées du virus dans la base de registre et le fichier kernel32.dll est intact. Avant d'effacer le fichier windows.exe, je l'avais mis sur une disquette. J'ai testé la disquette avec plusieurs virus (AVAST4, RAVANTIVIRUS en ligne, SECUSER celui qui est en ligne, a2 free), il n'y a qu'ANTIVIR qui me détecte le virus.

Je sais pas trop, ANTIVIR est peut-être trop sensible. Quand il suspect un fichier, il le désigne tout de suite comme virus. Enfin bon, j'en sais trop rien. Toujours est t'il que le fichier windows.exe est effacé et qu'après redémarrage, il n'a pas réapparu et que tout fonctionne bien.

Merci.
0
Un débutant
25 sept. 2004 à 09:44
J'ai fait un petit scan avec le virus en ligne Panda:
http://www.pandasoftware.com/activescan/.
Il me dit que le fichier Windows.exe (sur la disquette) est infecté par le virus W32/Gaobot.AQG.worm:
http://www.pandasoftware.com/virus_info/encyclopedia/ficha.aspx?iddeteccion=117885
Il est apparu pour la première fois le 17 septembre 2004.

Bon, bin voilà. Il semble bien y avoir un virus dans ce fichier mais ANTIVIR et PANDA ne donne pas le même.
0