Virus qui persiste - W32.Spybot.worm Help plz

David -  
pajero-brian Messages postés 3714 Date d'inscription   Statut Membre Dernière intervention   -
bonjour,
depuis maintenant 1 semaine g un petit virus ki me pourri la vie !
en effet, ds Démarrer>éxécuter>msconfig (onglet démarage)
j'ai des progs style Videon_32.exe, ... et meme en les désactivant , au prochain démarage il se réactive .
j'ai donc faity uen analyse norton avec la mise a jour du 09/04/04 et il détecte le virus W32.Spybot.worm mais NAV ne peut l'éradiquer!
j'ai donc formater !
me voila avec un windows tout propre enfin presque........
en telechargant les mise a jour windows sur windows update le virus est revenu !!!!!!!!!!!
je n'ai aucun pb matériel vu ke mon pc à un mois !
plz aidez moi je ne sais plus koi faire .
merci d'avance

2 réponses

  1. Utilisateur anonyme
     
    Salut
    Si tu as toujours Norton, lances le en mode sans echec(redemarrage en pressant en meme temps sur F8) et dis ce que ca donne.
    Bonne chance....
    0
  2. pajero-brian Messages postés 3714 Date d'inscription   Statut Membre Dernière intervention   72
     
    bonjour

    Lors de l'exécution, ce ver résidant en mémoire laisse tomber une copie de lui-même comme VIDEON_32.exe dans la chemise de système de Windows.

    Pour assurer son exécution automatique à chaque démarrage de Windows, il crée les entrées suivantes d'enregistrement:

    HKEY_LOCAL_MACHINE\Software\Microsoft \
    Windows\CurrentVersion\Run
    Client De Mise à jour De Microsoft = "VIDEON_32.exe"

    HKEY_CURRENT_USER\Software\Microsoft \
    Windows\CurrentVersion\Run
    Client De Mise à jour De Microsoft = "VIDEON_32.exe"

    Pour se courir comme service, il crée l'entrée suivante d'enregistrement:

    HKEY_LOCAL_MACHINE\Software\Microsoft \
    Windows\CurrentVersion\RunServices
    Client De Mise à jour De Microsoft = "VIDEON_32.exe"

    Il modifie également les entrées suivantes d'enregistrement:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
    EnableDCOM = "Y"

    :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
    EnableDCOM = "N"

    (note: L'entrée de défaut, EnableDCOM = "Y" , est changement à EnableDCOM = "N" .)

    HKEY_LOCAL_MACHINE\System\CurrentControlSet \
    Control\Lsa
    restrictanonymous = "dword:00000000"

    :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet \
    restrictanonymous = "dword:00000001"

    (note: L'entrée de défaut, restrictanonymous = "dword:00000000" , est changement à restrictanonymous = "dword:00000000" .)

    Exploits

    Ce ver tire profit de la vulnérabilité composante distribuée du modèle d'objet du Remote Procedure Call (RPC) (DCOM) actuelle sur les systèmes NT-basés par Windows, qui permet à un attaquant de gagner le plein accès et d'exécuter n'importe quel code sur une machine cible, le laissant compromis.

    Lisez plus sur cette vulnérabilité du lien suivant:

    Bulletin Ms03-026 De Sécurité De Microsoft
    Il exploite également la vulnérabilité de Windows LSASS, qui est une vulnérabilité de dépassement d'amortisseur qui permet l'exécution à distance de code. Une fois qu'avec succès exploité, un attaquant à distance peut gagner la pleine commande du système affecté. Pour plus d'informations sur cette vulnérabilité, référez-vous aux pages suivantes d'enchaînement de Microsoft:

    Ms04-011_microsoft_windows
    Bulletin Ms04-011 De Sécurité De Microsoft

    D'apres TRENDMICRO

    papy

    Des fois çà malche,des fois çà malche pas, hi hi hi hi
    Décontlasté,  hi hi hi hi
    0