Virus qui persiste - W32.Spybot.worm Help plz
David
-
pajero-brian Messages postés 3714 Date d'inscription Statut Membre Dernière intervention -
pajero-brian Messages postés 3714 Date d'inscription Statut Membre Dernière intervention -
bonjour,
depuis maintenant 1 semaine g un petit virus ki me pourri la vie !
en effet, ds Démarrer>éxécuter>msconfig (onglet démarage)
j'ai des progs style Videon_32.exe, ... et meme en les désactivant , au prochain démarage il se réactive .
j'ai donc faity uen analyse norton avec la mise a jour du 09/04/04 et il détecte le virus W32.Spybot.worm mais NAV ne peut l'éradiquer!
j'ai donc formater !
me voila avec un windows tout propre enfin presque........
en telechargant les mise a jour windows sur windows update le virus est revenu !!!!!!!!!!!
je n'ai aucun pb matériel vu ke mon pc à un mois !
plz aidez moi je ne sais plus koi faire .
merci d'avance
depuis maintenant 1 semaine g un petit virus ki me pourri la vie !
en effet, ds Démarrer>éxécuter>msconfig (onglet démarage)
j'ai des progs style Videon_32.exe, ... et meme en les désactivant , au prochain démarage il se réactive .
j'ai donc faity uen analyse norton avec la mise a jour du 09/04/04 et il détecte le virus W32.Spybot.worm mais NAV ne peut l'éradiquer!
j'ai donc formater !
me voila avec un windows tout propre enfin presque........
en telechargant les mise a jour windows sur windows update le virus est revenu !!!!!!!!!!!
je n'ai aucun pb matériel vu ke mon pc à un mois !
plz aidez moi je ne sais plus koi faire .
merci d'avance
2 réponses
-
Salut
Si tu as toujours Norton, lances le en mode sans echec(redemarrage en pressant en meme temps sur F8) et dis ce que ca donne.
Bonne chance.... -
bonjour
Lors de l'exécution, ce ver résidant en mémoire laisse tomber une copie de lui-même comme VIDEON_32.exe dans la chemise de système de Windows.
Pour assurer son exécution automatique à chaque démarrage de Windows, il crée les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
HKEY_CURRENT_USER\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Pour se courir comme service, il crée l'entrée suivante d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\RunServices
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Il modifie également les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "Y"
:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N"
(note: L'entrée de défaut, EnableDCOM = "Y" , est changement à EnableDCOM = "N" .)
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
Control\Lsa
restrictanonymous = "dword:00000000"
:
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
restrictanonymous = "dword:00000001"
(note: L'entrée de défaut, restrictanonymous = "dword:00000000" , est changement à restrictanonymous = "dword:00000000" .)
Exploits
Ce ver tire profit de la vulnérabilité composante distribuée du modèle d'objet du Remote Procedure Call (RPC) (DCOM) actuelle sur les systèmes NT-basés par Windows, qui permet à un attaquant de gagner le plein accès et d'exécuter n'importe quel code sur une machine cible, le laissant compromis.
Lisez plus sur cette vulnérabilité du lien suivant:
Bulletin Ms03-026 De Sécurité De Microsoft
Il exploite également la vulnérabilité de Windows LSASS, qui est une vulnérabilité de dépassement d'amortisseur qui permet l'exécution à distance de code. Une fois qu'avec succès exploité, un attaquant à distance peut gagner la pleine commande du système affecté. Pour plus d'informations sur cette vulnérabilité, référez-vous aux pages suivantes d'enchaînement de Microsoft:
Ms04-011_microsoft_windows
Bulletin Ms04-011 De Sécurité De Microsoft
D'apres TRENDMICRO
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi