Spybot.w32
ocb2b
Messages postés
14
Date d'inscription
Statut
Membre
Dernière intervention
-
ocb2b Messages postés 14 Date d'inscription Statut Membre Dernière intervention -
ocb2b Messages postés 14 Date d'inscription Statut Membre Dernière intervention -
Bonjour je vient vous faire part de mon experience a propos de ce virus.
symptomes:
-taskmanager s'affiche et se ferme tout de suite
-de meme pour msconfig
-et regedit
-netstat ne fournit pas de resultats
-la clé HKLM/software/microsoft/windows/run/winsock2 est présente dans la base de registre
ce virus est associé aux programmes de P2P (kazaa, edonkey, etc.)
Pour pouvoir acceder à ces utilitaires il faut:
-copier taskmngr.exe (c:\windows\system32) dans un nouveau repertoire et le renommer
-de meme pour msconfig (c:\windows\pchealth\helpctr\binaries)
-et pour regedit (c:\windows\)
les processus viraux sont:
-wauaq.exe (il empeche le demarrage de regedit,msconfig,etc.) et il se trouve dans le reprtoire c:\windows\system32
-filename.exe (je suis pas sur que ce soit un processus viral mais il été présent et je pense qu'il m'empechait de me connecter au site microsoft pour dl la mise a jour anti worm blaster. il m'empechait egalement de me connecter au site de panda, donc terminer ce processus si il est présent)
pour l'eradiquer il semblerer que l'antivirus online de panda (http://www.pandasoftware.com/activescan/fr/activescan_principal.htm) soit le meilleur moyen.
pour le moment tout va bien :)
symptomes:
-taskmanager s'affiche et se ferme tout de suite
-de meme pour msconfig
-et regedit
-netstat ne fournit pas de resultats
-la clé HKLM/software/microsoft/windows/run/winsock2 est présente dans la base de registre
ce virus est associé aux programmes de P2P (kazaa, edonkey, etc.)
Pour pouvoir acceder à ces utilitaires il faut:
-copier taskmngr.exe (c:\windows\system32) dans un nouveau repertoire et le renommer
-de meme pour msconfig (c:\windows\pchealth\helpctr\binaries)
-et pour regedit (c:\windows\)
les processus viraux sont:
-wauaq.exe (il empeche le demarrage de regedit,msconfig,etc.) et il se trouve dans le reprtoire c:\windows\system32
-filename.exe (je suis pas sur que ce soit un processus viral mais il été présent et je pense qu'il m'empechait de me connecter au site microsoft pour dl la mise a jour anti worm blaster. il m'empechait egalement de me connecter au site de panda, donc terminer ce processus si il est présent)
pour l'eradiquer il semblerer que l'antivirus online de panda (http://www.pandasoftware.com/activescan/fr/activescan_principal.htm) soit le meilleur moyen.
pour le moment tout va bien :)
2 réponses
Bonjour OCB2B,
J'avais aussi noté Panda parmi les possibilités d'éradication on-line.
Quelques notes et éradication manuelle de w32.spybot à
http://assiste.free.fr/p/internet_attaquants/w32.spybot.php
Je n'ai rien trouvé à propos du processus wauaq.exe. Tu es sûr du nom ? A moins qu'il ne s'agisse d'un nom aléatoire généré à la volée lors de l'infestation.
Il est bon de savoir que le blocage des outils utiles à la restauration de certains paramètres, après un hijack, provient de 2 endroits
1/ pour W2000 et XP : d'une inscription dans la base de registre (page de démarrage de IE, page de recherches, lancement de Regedit, options internet dans le panneau de configuration etc. ...) Clé HKEY_CURRENT_USER\Control Panel\don't load\
2/ pour W98 et Me : section [don't load] dans le fichier "control.ini"
D'autre part, la lecture des sections O5, O6 et O7 d'un log fait par HijackThis donne la liste des blocages :
# O5 = lignes bloquant le chargement des options Internet dans le panneau de configuration.
# O6 = lignes bloquant les "Options Internet"
# O7 = lignes bloquant Regedit pour vous empêcher d'éditer (corriger) la base de registre
Il suffit de cocher ces lignes et de les virer avec HijackThis.
HijackThis
http://assiste.free.fr/p/internet_utilitaires/hijackthis.php
anti-hijack
http://assiste.free.fr/p/internet_contre_mesures/anti_hijack.php
Cordialement
Terdef
http://assiste.com
J'avais aussi noté Panda parmi les possibilités d'éradication on-line.
Quelques notes et éradication manuelle de w32.spybot à
http://assiste.free.fr/p/internet_attaquants/w32.spybot.php
Je n'ai rien trouvé à propos du processus wauaq.exe. Tu es sûr du nom ? A moins qu'il ne s'agisse d'un nom aléatoire généré à la volée lors de l'infestation.
Il est bon de savoir que le blocage des outils utiles à la restauration de certains paramètres, après un hijack, provient de 2 endroits
1/ pour W2000 et XP : d'une inscription dans la base de registre (page de démarrage de IE, page de recherches, lancement de Regedit, options internet dans le panneau de configuration etc. ...) Clé HKEY_CURRENT_USER\Control Panel\don't load\
2/ pour W98 et Me : section [don't load] dans le fichier "control.ini"
D'autre part, la lecture des sections O5, O6 et O7 d'un log fait par HijackThis donne la liste des blocages :
# O5 = lignes bloquant le chargement des options Internet dans le panneau de configuration.
# O6 = lignes bloquant les "Options Internet"
# O7 = lignes bloquant Regedit pour vous empêcher d'éditer (corriger) la base de registre
Il suffit de cocher ces lignes et de les virer avec HijackThis.
HijackThis
http://assiste.free.fr/p/internet_utilitaires/hijackthis.php
anti-hijack
http://assiste.free.fr/p/internet_contre_mesures/anti_hijack.php
Cordialement
Terdef
http://assiste.com
Pour le nom du processus wauaq.exe c'est vrai qu'il pourrait s'agir d'un nom aléatoire, il faut alors surveiller tous ses processus pour dénicher celui qui est suspect. Si la base de registre (pour les gens comme moi) ne fournit pas des éléments de compréhension suffisant il est possible (je pense) d'utiliser regcleaner telechargeable sur telecharger.com.
Maintenant que le virus est éradiqué je ne peux pas certifier de tout, mais je suis sur de 2 chose:
1.unprocessus bloque l'acces aux outils qui permettent de le detecter.
2.un autre bloque l'acces a panda et autéléchargement de la MAJ microsoft.
En ce qui concerne hijack, je ne connaissait pas ce programme j'irais voir si il est bien.
! Il est a noter que le fichier wauaq.exe n'a pas été trouvé par une recherche windows ! Je suis tomber dessus en farfouillant le repertoire windows.
Maintenant que le virus est éradiqué je ne peux pas certifier de tout, mais je suis sur de 2 chose:
1.unprocessus bloque l'acces aux outils qui permettent de le detecter.
2.un autre bloque l'acces a panda et autéléchargement de la MAJ microsoft.
En ce qui concerne hijack, je ne connaissait pas ce programme j'irais voir si il est bien.
! Il est a noter que le fichier wauaq.exe n'a pas été trouvé par une recherche windows ! Je suis tomber dessus en farfouillant le repertoire windows.