Virus Win32.Worm.VB.npm et system.exe
dragomyr
-
Legroom -
Legroom -
Le programme system.exe n'est que la partie apparente du problème.
Sur chaque disque interne ou externe sur chaque clef usb, le system.exe
depuis le début de l'infection à installé un fichier autorun.inf
et une directorie nommée au choix recycled, recycler ou $recycle.bin
avec dedans un fichier info.exe qui se propage à chaque activation.
La majorité des fichiers et des directories sont cachées
on ne peut les voir qu'avec un dir /a sous la console DOS
D'où le retour du virus après formatage
sous windows\config on trouve svhost.exe et system.exe qui sont à supprimer
sous windows aussi un system.exe caché
j'ai fait de nombeux scans avec
avast, adaware, avd antispyware, kapersy on line ..... après tous ces nettoyages
et un script DOS à appliquer sur tous les disques je suis à peu près stable
malgré tout la directorie "recycler" se recrée d'où mon inquiétude
quelle tâche de fond ou clef de registre régénère cette directorie
Avec tune up utilities on peut arrêter system.exe dans le process manager
Je n'ai par contre aucune impression de blocage du PC, arrêt de la souris
comme semble l'évoquer de nombreux malheureux utilisateurs.
Je vérifie régulièrement avec la console DOS sous C: et D:
avec in DIR /A le présence des directories RECYCLER...
et avec tuneup utilities le process info.exe
Merci pour votre aide et pour les bonne idées
Voilà un bout du script
------------------------------------------------------------------------------------------------------
c:
cd windows\config
del system.exe
del svhost.exe
cd ..
attrib -S -H system.exe
del system.exe
c:
cd \
attrib -S -H autorun.inf
del autorun.inf
cd recycled
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir recycled
cd recycler
cd S-1-5-21-268335800-1255181116-4045722906-1007
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir S-1-5-21-268335800-1255181116-4045722906-1007
cd S-1-5-21-2854136712-452915792-1129695222-1003
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir S-1-5-21-2854136712-452915792-1129695222-1003
cd ..
rmdir recycler
cd $recycle.bin
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir $recycle.bin
Sur chaque disque interne ou externe sur chaque clef usb, le system.exe
depuis le début de l'infection à installé un fichier autorun.inf
et une directorie nommée au choix recycled, recycler ou $recycle.bin
avec dedans un fichier info.exe qui se propage à chaque activation.
La majorité des fichiers et des directories sont cachées
on ne peut les voir qu'avec un dir /a sous la console DOS
D'où le retour du virus après formatage
sous windows\config on trouve svhost.exe et system.exe qui sont à supprimer
sous windows aussi un system.exe caché
j'ai fait de nombeux scans avec
avast, adaware, avd antispyware, kapersy on line ..... après tous ces nettoyages
et un script DOS à appliquer sur tous les disques je suis à peu près stable
malgré tout la directorie "recycler" se recrée d'où mon inquiétude
quelle tâche de fond ou clef de registre régénère cette directorie
Avec tune up utilities on peut arrêter system.exe dans le process manager
Je n'ai par contre aucune impression de blocage du PC, arrêt de la souris
comme semble l'évoquer de nombreux malheureux utilisateurs.
Je vérifie régulièrement avec la console DOS sous C: et D:
avec in DIR /A le présence des directories RECYCLER...
et avec tuneup utilities le process info.exe
Merci pour votre aide et pour les bonne idées
Voilà un bout du script
------------------------------------------------------------------------------------------------------
c:
cd windows\config
del system.exe
del svhost.exe
cd ..
attrib -S -H system.exe
del system.exe
c:
cd \
attrib -S -H autorun.inf
del autorun.inf
cd recycled
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir recycled
cd recycler
cd S-1-5-21-268335800-1255181116-4045722906-1007
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir S-1-5-21-268335800-1255181116-4045722906-1007
cd S-1-5-21-2854136712-452915792-1129695222-1003
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir S-1-5-21-2854136712-452915792-1129695222-1003
cd ..
rmdir recycler
cd $recycle.bin
attrib -S -H info.exe
attrib -S -H desktop.ini
attrib -S -H info2
del info.exe
del desktop.ini
del info2
cd ..
rmdir $recycle.bin
A voir également:
- Virus Win32.Worm.VB.npm et system.exe
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
- Undisclosed-recipients virus - Guide
4 réponses
si les données sont hyper importantes mais que tu soupçonne l'existence de quelque chose de très dangereux..
1- trouve-toi un éditeur de mémoire vive, lance ton document depuis ta clé usb puis lance un éditeur de mémoire vive. Sélectionne le programme utilisé pour ouvrir le document en question, puis fait une copie décompressé de la mémoire vive pour ce programme. (C'est assez lourd)
2- Fais-toi un backup du contenu de ta clé usb sur ton bureau (desktop), au cas où.
3- Force le formatage de la clé usb en désinstallant le pilote alloué à ce port.
4- Reformate la clé usb et replace la copie décompressé de la mémoire vive du programme.
5- Retire la clé usb, après que le transfert soit terminé en n'avertissant pas le système (ne fait pas "eject device")
6- Note bien la version du programme (v.xx.xxx.xx) qui a été utilisé pour ouvrir le document.
7- Va sur un autre ordinateur avec ta clé usb.
8- Ouvre le même programme dont tu t'es précédemment servit pour ouvrir le document.
9- Force l'injection des données décompressés de ton document.
10- Si tu crois en dieu, prit.
----
Si tu as des doutes sérieux sur cette méthode,
1- trouve-toi une connexion internet.
2- upload ton document sur un hébergeur ou ton compte email.
-----
Si tu crois que ton document est infesté, fais la même chose mais enregistre ton document en format rtf ou en format pdf, c'est-à-dire un format standarisé. Trouve-toi un ordinateur possédant un système unix|linux et ouvre le document. Si virus il y a il ne se passera pas grand chose... (à moins qu'il soit en perl ou..)
1- trouve-toi un éditeur de mémoire vive, lance ton document depuis ta clé usb puis lance un éditeur de mémoire vive. Sélectionne le programme utilisé pour ouvrir le document en question, puis fait une copie décompressé de la mémoire vive pour ce programme. (C'est assez lourd)
2- Fais-toi un backup du contenu de ta clé usb sur ton bureau (desktop), au cas où.
3- Force le formatage de la clé usb en désinstallant le pilote alloué à ce port.
4- Reformate la clé usb et replace la copie décompressé de la mémoire vive du programme.
5- Retire la clé usb, après que le transfert soit terminé en n'avertissant pas le système (ne fait pas "eject device")
6- Note bien la version du programme (v.xx.xxx.xx) qui a été utilisé pour ouvrir le document.
7- Va sur un autre ordinateur avec ta clé usb.
8- Ouvre le même programme dont tu t'es précédemment servit pour ouvrir le document.
9- Force l'injection des données décompressés de ton document.
10- Si tu crois en dieu, prit.
----
Si tu as des doutes sérieux sur cette méthode,
1- trouve-toi une connexion internet.
2- upload ton document sur un hébergeur ou ton compte email.
-----
Si tu crois que ton document est infesté, fais la même chose mais enregistre ton document en format rtf ou en format pdf, c'est-à-dire un format standarisé. Trouve-toi un ordinateur possédant un système unix|linux et ouvre le document. Si virus il y a il ne se passera pas grand chose... (à moins qu'il soit en perl ou..)
j'aimerais bien observé ce "virus". peut-tu me l'envoyer par email? ne fais que changer l'extension du programme par rien.
exemple:
systeme.exe devient system
Voici mon adresse auto68953@hush.ai
Ne fais que spécifier le nom du "virus" dans l'entête, s'il-te-plaît
rospotov
exemple:
systeme.exe devient system
Voici mon adresse auto68953@hush.ai
Ne fais que spécifier le nom du "virus" dans l'entête, s'il-te-plaît
rospotov
Bonjour
Et pour ceux qui n'y connaissent pas grand chose en informatique... vous conseillez quoi ? j'ai apparement chope un virus sur sur ma cle USB (system.exe) le probleme est surtout symptomatique lorsque j'utilise ma cle au boulot mais je suis inquiete pour mon pc perso (données hyper importante pour ma these que je dois soutenir dans 15 jours....)
Merci
Et pour ceux qui n'y connaissent pas grand chose en informatique... vous conseillez quoi ? j'ai apparement chope un virus sur sur ma cle USB (system.exe) le probleme est surtout symptomatique lorsque j'utilise ma cle au boulot mais je suis inquiete pour mon pc perso (données hyper importante pour ma these que je dois soutenir dans 15 jours....)
Merci
