Virus qui persiste - W32.Spybot.worm Help plz
David
-
pajero-brian Messages postés 3714 Date d'inscription Statut Membre Dernière intervention -
pajero-brian Messages postés 3714 Date d'inscription Statut Membre Dernière intervention -
bonjour,
depuis maintenant 1 semaine g un petit virus ki me pourri la vie !
en effet, ds Démarrer>éxécuter>msconfig (onglet démarage)
j'ai des progs style Videon_32.exe, ... et meme en les désactivant , au prochain démarage il se réactive .
j'ai donc faity uen analyse norton avec la mise a jour du 09/04/04 et il détecte le virus W32.Spybot.worm mais NAV ne peut l'éradiquer!
j'ai donc formater !
me voila avec un windows tout propre enfin presque........
en telechargant les mise a jour windows sur windows update le virus est revenu !!!!!!!!!!!
je n'ai aucun pb matériel vu ke mon pc à un mois !
plz aidez moi je ne sais plus koi faire .
merci d'avance
depuis maintenant 1 semaine g un petit virus ki me pourri la vie !
en effet, ds Démarrer>éxécuter>msconfig (onglet démarage)
j'ai des progs style Videon_32.exe, ... et meme en les désactivant , au prochain démarage il se réactive .
j'ai donc faity uen analyse norton avec la mise a jour du 09/04/04 et il détecte le virus W32.Spybot.worm mais NAV ne peut l'éradiquer!
j'ai donc formater !
me voila avec un windows tout propre enfin presque........
en telechargant les mise a jour windows sur windows update le virus est revenu !!!!!!!!!!!
je n'ai aucun pb matériel vu ke mon pc à un mois !
plz aidez moi je ne sais plus koi faire .
merci d'avance
A voir également:
- Virus qui persiste - W32.Spybot.worm Help plz
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Message virus iphone ✓ - Forum Virus
2 réponses
Salut
Si tu as toujours Norton, lances le en mode sans echec(redemarrage en pressant en meme temps sur F8) et dis ce que ca donne.
Bonne chance....
Si tu as toujours Norton, lances le en mode sans echec(redemarrage en pressant en meme temps sur F8) et dis ce que ca donne.
Bonne chance....
bonjour
Lors de l'exécution, ce ver résidant en mémoire laisse tomber une copie de lui-même comme VIDEON_32.exe dans la chemise de système de Windows.
Pour assurer son exécution automatique à chaque démarrage de Windows, il crée les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
HKEY_CURRENT_USER\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Pour se courir comme service, il crée l'entrée suivante d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\RunServices
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Il modifie également les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "Y"
:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N"
(note: L'entrée de défaut, EnableDCOM = "Y" , est changement à EnableDCOM = "N" .)
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
Control\Lsa
restrictanonymous = "dword:00000000"
:
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
restrictanonymous = "dword:00000001"
(note: L'entrée de défaut, restrictanonymous = "dword:00000000" , est changement à restrictanonymous = "dword:00000000" .)
Exploits
Ce ver tire profit de la vulnérabilité composante distribuée du modèle d'objet du Remote Procedure Call (RPC) (DCOM) actuelle sur les systèmes NT-basés par Windows, qui permet à un attaquant de gagner le plein accès et d'exécuter n'importe quel code sur une machine cible, le laissant compromis.
Lisez plus sur cette vulnérabilité du lien suivant:
Bulletin Ms03-026 De Sécurité De Microsoft
Il exploite également la vulnérabilité de Windows LSASS, qui est une vulnérabilité de dépassement d'amortisseur qui permet l'exécution à distance de code. Une fois qu'avec succès exploité, un attaquant à distance peut gagner la pleine commande du système affecté. Pour plus d'informations sur cette vulnérabilité, référez-vous aux pages suivantes d'enchaînement de Microsoft:
Ms04-011_microsoft_windows
Bulletin Ms04-011 De Sécurité De Microsoft
D'apres TRENDMICRO
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
Lors de l'exécution, ce ver résidant en mémoire laisse tomber une copie de lui-même comme VIDEON_32.exe dans la chemise de système de Windows.
Pour assurer son exécution automatique à chaque démarrage de Windows, il crée les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
HKEY_CURRENT_USER\Software\Microsoft \
Windows\CurrentVersion\Run
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Pour se courir comme service, il crée l'entrée suivante d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \
Windows\CurrentVersion\RunServices
Client De Mise à jour De Microsoft = "VIDEON_32.exe"
Il modifie également les entrées suivantes d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "Y"
:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N"
(note: L'entrée de défaut, EnableDCOM = "Y" , est changement à EnableDCOM = "N" .)
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
Control\Lsa
restrictanonymous = "dword:00000000"
:
HKEY_LOCAL_MACHINE\System\CurrentControlSet \
restrictanonymous = "dword:00000001"
(note: L'entrée de défaut, restrictanonymous = "dword:00000000" , est changement à restrictanonymous = "dword:00000000" .)
Exploits
Ce ver tire profit de la vulnérabilité composante distribuée du modèle d'objet du Remote Procedure Call (RPC) (DCOM) actuelle sur les systèmes NT-basés par Windows, qui permet à un attaquant de gagner le plein accès et d'exécuter n'importe quel code sur une machine cible, le laissant compromis.
Lisez plus sur cette vulnérabilité du lien suivant:
Bulletin Ms03-026 De Sécurité De Microsoft
Il exploite également la vulnérabilité de Windows LSASS, qui est une vulnérabilité de dépassement d'amortisseur qui permet l'exécution à distance de code. Une fois qu'avec succès exploité, un attaquant à distance peut gagner la pleine commande du système affecté. Pour plus d'informations sur cette vulnérabilité, référez-vous aux pages suivantes d'enchaînement de Microsoft:
Ms04-011_microsoft_windows
Bulletin Ms04-011 De Sécurité De Microsoft
D'apres TRENDMICRO
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
