W32.protoride.Worm - comment arrive-t-il ?
Babylone
-
sympa -
sympa -
Bonjour a tous,
voila, je tourne sous winXP et je suis constament attaquer par le vers "w32.protoride.worm".
Ce ver met un fichier exe (winocx.exe, msupdate.exe ou encore winupdate.exe) dans le repertoire demarrage de tous les comptes utilisateurs et une fois lancé, il modifie la clef de registre suivante :
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
valeur par defaut : ["%1 %*"]
Si par malheur il arrive a modifier cette valeur, l'execution de tout exectuable est impossible
Le virus n'est pas bien dangereux, car il suffit de stopper le processuus et de remettre la valeur par defaut de la clef, seulement, il ne cesse jamais de revenir, et mon antivirus s'affolle sans arret.
J'aiessayé la solution de tout les antivirus connu, qui conseille d desactiver la restauration systeme, mais en vain.
Ce ou ces vers n'arrete tjrs pas.
Alors ma question serais de savoir si quelqu'un sait par quel faille de securité ce ver arrive.
Et quel est le moyen de bloquer cette faille.
Je remerci toute personne pouvant m'apporter de l'aide et a tout ceux qui ont pris la peine de me lire.
Merci beaucoup d'avance.
voila, je tourne sous winXP et je suis constament attaquer par le vers "w32.protoride.worm".
Ce ver met un fichier exe (winocx.exe, msupdate.exe ou encore winupdate.exe) dans le repertoire demarrage de tous les comptes utilisateurs et une fois lancé, il modifie la clef de registre suivante :
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
valeur par defaut : ["%1 %*"]
Si par malheur il arrive a modifier cette valeur, l'execution de tout exectuable est impossible
Le virus n'est pas bien dangereux, car il suffit de stopper le processuus et de remettre la valeur par defaut de la clef, seulement, il ne cesse jamais de revenir, et mon antivirus s'affolle sans arret.
J'aiessayé la solution de tout les antivirus connu, qui conseille d desactiver la restauration systeme, mais en vain.
Ce ou ces vers n'arrete tjrs pas.
Alors ma question serais de savoir si quelqu'un sait par quel faille de securité ce ver arrive.
Et quel est le moyen de bloquer cette faille.
Je remerci toute personne pouvant m'apporter de l'aide et a tout ceux qui ont pris la peine de me lire.
Merci beaucoup d'avance.
A voir également:
- W32.protoride.Worm - comment arrive-t-il ?
- W32.malware.gen ✓ - Forum Virus
- Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur - Forum Virus
- Win32 malware-gen ✓ - Forum Virus
- W32.trojan.gen - Forum Virus
- W32 l32 taille française homme ✓ - Forum Loisirs / Divertissements
13 réponses
Bonjour,
Voila ce qu'endit sophos,
http://www.sophos.fr/virusinfo/analyses/w32protoridef.html
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
Voila ce qu'endit sophos,
http://www.sophos.fr/virusinfo/analyses/w32protoridef.html
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
Hélas, malgré toute les infos des antivirus, il revient perpetuellement...
j'aimerais surtout bloqué la faille par laquelle il se promene ...
et je n'ai pas encore trouvé d'info tres concrete sur ce probleme.
Norton le detect et l'empeche de s'executer c'est pas ca, mais les alerte c'est pas toujours fun fun lol
merci qd meme pour la reponse
si qqun a des infos sur le moyen de le rendre impuissant, elles sont les bienvenues ;)
++
j'aimerais surtout bloqué la faille par laquelle il se promene ...
et je n'ai pas encore trouvé d'info tres concrete sur ce probleme.
Norton le detect et l'empeche de s'executer c'est pas ca, mais les alerte c'est pas toujours fun fun lol
merci qd meme pour la reponse
si qqun a des infos sur le moyen de le rendre impuissant, elles sont les bienvenues ;)
++
Bonjour tout le monde!
Voilà, moi aussi je reçois constemment des alertes de Norton qui me dit qu'il a supprimé le fichier msupdate.exe ou winupdate.exe car il était infecté par le ver protoride. Je confirme que c'est plutôt soulant de recevoir des alertes tout le temps.
Moi, quand je fais les manips qu'ils indiquent sur tous les forums ou tous les sites (symantec et autres), ça ne marche pas, ou plutôt je n'ai rien à faire, puisque Norton a supprimé le fichier avant qu'il ne contamine l'ordi. Ce que je me disais c'est qu'il doit bien y avoir un fichier qui tente de remettre le virus dans le dossier de démarrage. Donc je voulais savoir si'il n'existe pas de logiciel qui puisse observer tout ce que les applications tentent de faire et de trouver comment le ver tente de se remettre dans le dossier démarrage.
En plus, comme c'est msupdate.exe et winupdate.exe qui sont supprimés, on ne peut plus faire de mise à jour de Windows XP...
Voilà, en tout cas, je trouve ça super sympa d'aider les gens en galère sur le net. Merci d'avance
Voilà, moi aussi je reçois constemment des alertes de Norton qui me dit qu'il a supprimé le fichier msupdate.exe ou winupdate.exe car il était infecté par le ver protoride. Je confirme que c'est plutôt soulant de recevoir des alertes tout le temps.
Moi, quand je fais les manips qu'ils indiquent sur tous les forums ou tous les sites (symantec et autres), ça ne marche pas, ou plutôt je n'ai rien à faire, puisque Norton a supprimé le fichier avant qu'il ne contamine l'ordi. Ce que je me disais c'est qu'il doit bien y avoir un fichier qui tente de remettre le virus dans le dossier de démarrage. Donc je voulais savoir si'il n'existe pas de logiciel qui puisse observer tout ce que les applications tentent de faire et de trouver comment le ver tente de se remettre dans le dossier démarrage.
En plus, comme c'est msupdate.exe et winupdate.exe qui sont supprimés, on ne peut plus faire de mise à jour de Windows XP...
Voilà, en tout cas, je trouve ça super sympa d'aider les gens en galère sur le net. Merci d'avance
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
W32.Protoride.worm modifie le fichier : msupdate.exe
en cliquant sur n'importe quel exécutable il active msupdate.exe qui inscrit le code "fatal" dans la Base de Registre (comme tu l'as bien vu)
Aprés avoir corrigé ce code > "%1" %*, ferme la base de registre.
puis lance :
Menu Demarrer> Exécuter> msconfig
Click sur l'onglet "Démarrage" et désactive le fichier msupdate.exe
Ca marche sous Windows97NE
en cliquant sur n'importe quel exécutable il active msupdate.exe qui inscrit le code "fatal" dans la Base de Registre (comme tu l'as bien vu)
Aprés avoir corrigé ce code > "%1" %*, ferme la base de registre.
puis lance :
Menu Demarrer> Exécuter> msconfig
Click sur l'onglet "Démarrage" et désactive le fichier msupdate.exe
Ca marche sous Windows97NE
Merci, Chevalier Andre d'avoir répondu, mais je crois que vous ne saisissez pas le sens de la question... On ne veut pas savoir comment faire pour enlever le ver une fois installé, on veut savoir d'où vient sa réapparition perpetuelle, comment il essaye de se réinstaller, à partir de quel fichier?
Merci quand même!
Merci quand même!
Bonjour,
W32/Protoride-F est un ver Windows qui se propage via les partages réseau. Il possède un composant de porte dérobée qui permet via des canaux IRC un accès distant non autorisé à l'ordinateur.
W32/Protoride-F tente de se copier dans le dossier système Windows avec le nom de fichier rdpty.exe, puis, pour s'exécuter avant tous les fichiers EXE, paramètre dans le registre l'entrée suivante :
HKCR\exefile\shell\open\command
W32/Protoride-F tente de se copier dans msupdate.exe dans le dossier de démarrage des ordinateurs du réseau partagée.
W32/Protoride-F peut aussi paramétrer dans le registre l'entrée suivante :
HKLM\Software\BeyonD inDustries\ProtoType[v2]
W32/Protoride-F reste résident, fonctionnant en tâche de fond sous la forme d'un processus de service et surveillant via des canaux IRC les commandes des utilisateurs distants. (sophos)
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
W32/Protoride-F est un ver Windows qui se propage via les partages réseau. Il possède un composant de porte dérobée qui permet via des canaux IRC un accès distant non autorisé à l'ordinateur.
W32/Protoride-F tente de se copier dans le dossier système Windows avec le nom de fichier rdpty.exe, puis, pour s'exécuter avant tous les fichiers EXE, paramètre dans le registre l'entrée suivante :
HKCR\exefile\shell\open\command
W32/Protoride-F tente de se copier dans msupdate.exe dans le dossier de démarrage des ordinateurs du réseau partagée.
W32/Protoride-F peut aussi paramétrer dans le registre l'entrée suivante :
HKLM\Software\BeyonD inDustries\ProtoType[v2]
W32/Protoride-F reste résident, fonctionnant en tâche de fond sous la forme d'un processus de service et surveillant via des canaux IRC les commandes des utilisateurs distants. (sophos)
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
Bonjour
J'y suis également passé.
J'ai retrouvé un Winini.exe et un Winupdate.exe que j'ai supprimés. Mais pas moyen de savoir si le système est clean maintenant.
J'ai vérifié avec Bit Defender, et Secuser.com ... RAS.
Ad-aware ne voit rien d'anormal non plus.
Mais mon icone de communication (triangle vert) s'agite parfois sans raison .... alors ....
A+
J'y suis également passé.
J'ai retrouvé un Winini.exe et un Winupdate.exe que j'ai supprimés. Mais pas moyen de savoir si le système est clean maintenant.
J'ai vérifié avec Bit Defender, et Secuser.com ... RAS.
Ad-aware ne voit rien d'anormal non plus.
Mais mon icone de communication (triangle vert) s'agite parfois sans raison .... alors ....
A+
Affirmat, g apparemment le même prob. depuis 1 jour
Cependant mon firewll m'indique pourtant une entrée sur le syst.
qu'il n'arrive pas à bloqier.
et à la suite g au moins 3 tentatives d'écritures supprimés par l'antivirus. Comme ma base de registre est aussi protégée, je ne risque pas grand chose pour l'instant.
Pas encore trouvé le programme qui m'active ce service.exe.exe`.
Je cherche ...
A+
Cependant mon firewll m'indique pourtant une entrée sur le syst.
qu'il n'arrive pas à bloqier.
et à la suite g au moins 3 tentatives d'écritures supprimés par l'antivirus. Comme ma base de registre est aussi protégée, je ne risque pas grand chose pour l'instant.
Pas encore trouvé le programme qui m'active ce service.exe.exe`.
Je cherche ...
A+
salut
pour voir si c est un service qui le relance
Voir les services
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
pour voir si c est un service qui le relance
Voir les services
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
bonjour tout le monde...
y a t il quelqu'un qui pourrait me dire comment on se debarrase de :
w32 opaserv A et w32 protoride
merco d'avance
y a t il quelqu'un qui pourrait me dire comment on se debarrase de :
w32 opaserv A et w32 protoride
merco d'avance
Bonjour
C'est vrai. On dépense beaucoup de temps et d'argent à combattre ce fléau....les virus et autres "malware".
Question (sans doute trop simple) :
Puisque toute connexion se fait par un portail. Porquoi ceux-ci laissent-ils tout passer, sans rien filtrer.
Ils disposent pourtant de puissants moyens pour bloquer ces saloperies et se paient tous grassement sur nos abonnements.
Ah oui, j'allais oublier, ça ferait de l'ombre aux marchands d'AV (même les gratuits ... Pub oblige).
A+
C'est vrai. On dépense beaucoup de temps et d'argent à combattre ce fléau....les virus et autres "malware".
Question (sans doute trop simple) :
Puisque toute connexion se fait par un portail. Porquoi ceux-ci laissent-ils tout passer, sans rien filtrer.
Ils disposent pourtant de puissants moyens pour bloquer ces saloperies et se paient tous grassement sur nos abonnements.
Ah oui, j'allais oublier, ça ferait de l'ombre aux marchands d'AV (même les gratuits ... Pub oblige).
A+
merci a sympa pour ta reponse, chez moi c norton qui a mis en quarantaine win.ini et windate parce que justement infecté par le ver mais a chaque ouverture de l'ordi, il me reclame ces fichiers et de plus certains programmes en ont besoin pour leur fonctionnement. mon fichier speedy.pif aussi est infecté et en quarantaine.. j'en ai besoin pour dessiner sur 20/20 mais pas capable de le reparer non plus... toujours a cause de ces vers.
je continue de faire des recherches pour combattre cette cochonnerie la. mais jaimerai savoir comment faire pour ravoir ces fichiers en quarantaine par un autre moyen que d'aller les recuperer.
nada
je continue de faire des recherches pour combattre cette cochonnerie la. mais jaimerai savoir comment faire pour ravoir ces fichiers en quarantaine par un autre moyen que d'aller les recuperer.
nada
Bonjour
Curieux qu'ils soient appelés. Moi je les ai supprimés de mon fichier de quarantaine et ça ne me pose pas de problème.
Je pense qu'ils ont du installer une routine d'appel automatique dans la base de registre.
Pour ma part, j'ai procédé comme suit :
1) déconnecter physiquement la ligne téléphonique du modem.
2) désactiver la restauration automatique (Acessoires / gestion des sauvegardes)
3) redémarrer en mode sans échec et lancé AD-Aware, histoire de virer les backdoor et autres espoins.
4) redémarrer en mode normal et lancé mon AV (Bit Defender),
5) reconnecter la ligne téléphonique
6) faire un nouveau scan avec un AV en ligne (Secuser)
Maintenant ça marche bien, et sans winini.exe ni winupdate.exe qui sont des faus fichiers windows.
J'ai repéré le problème de mon icone de com. qui continue de clignoter ... ça n'a rien à voir, ça vient d'un autre PC de mon réseau.
@+
Curieux qu'ils soient appelés. Moi je les ai supprimés de mon fichier de quarantaine et ça ne me pose pas de problème.
Je pense qu'ils ont du installer une routine d'appel automatique dans la base de registre.
Pour ma part, j'ai procédé comme suit :
1) déconnecter physiquement la ligne téléphonique du modem.
2) désactiver la restauration automatique (Acessoires / gestion des sauvegardes)
3) redémarrer en mode sans échec et lancé AD-Aware, histoire de virer les backdoor et autres espoins.
4) redémarrer en mode normal et lancé mon AV (Bit Defender),
5) reconnecter la ligne téléphonique
6) faire un nouveau scan avec un AV en ligne (Secuser)
Maintenant ça marche bien, et sans winini.exe ni winupdate.exe qui sont des faus fichiers windows.
J'ai repéré le problème de mon icone de com. qui continue de clignoter ... ça n'a rien à voir, ça vient d'un autre PC de mon réseau.
@+
