A voir également:
- Trojan Proxy-Mitglieder
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Virus trojan al11 ✓ - Forum Virus
- Proxy google 8.8.8.8 port - Guide
49 réponses
salut,
j'ai tj ma page de demarrage qui est piratée : mk:@MSITStore:C:\spe\start.chm::/start.html# ce qui me connecte sur 1 site porno
qq peut-il m'aider a interpréter le hijack coolé plus haut?
merci
à+
j'ai tj ma page de demarrage qui est piratée : mk:@MSITStore:C:\spe\start.chm::/start.html# ce qui me connecte sur 1 site porno
qq peut-il m'aider a interpréter le hijack coolé plus haut?
merci
à+
Source KAPERSKY
Cette nouvelle variante de ' I-Worm.Bagle ' ressemble beaucoup à son prédécesseur au niveau fonctionnel. Le programme malicieux se propage via le courrier électronique en tant que pièce-jointe. Cette pièce-jointe est un fichier exécutable Windows de 11 Ko. L'objet du message est ' ID x: thanks ' et le corps, ' Yours ID x: Thank ' où x représente une succession aléatoire de caractères.
Une fois que le fichier a été exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Afin de désorienter l'utilisateur, le ver provoque le démarrage de l'utilitaire Windows standard Sound Recorder (sndrec32.exe). Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants qui sont liés d'une manière ou d'une autre au cheval de Troie proxy TrojanProxy.Win32.Mitglieder. A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et ' I-Worm.Bagle ' ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion.
Ceci étant dit, c'est la partie cheval de Troie du ver qui représente la plus grande menace pour l'ordinateur infecté. Elle ouvre en effet le port 8866 et surveille son activité. Les personnes mal intentionnées peuvent ainsi administrer l'ordinateur à distance. Ils peuvent notamment exécuter différentes commandes et télécharger des fichiers pour les consulter.
A toi de mesurer la menace
SI je trouve un lien je le poste
http://www.kaspersky.com/fr/news.html?id=3504262
Désactive ton AV et essaie leur AV en ligne
A++
Eric
Cette nouvelle variante de ' I-Worm.Bagle ' ressemble beaucoup à son prédécesseur au niveau fonctionnel. Le programme malicieux se propage via le courrier électronique en tant que pièce-jointe. Cette pièce-jointe est un fichier exécutable Windows de 11 Ko. L'objet du message est ' ID x: thanks ' et le corps, ' Yours ID x: Thank ' où x représente une succession aléatoire de caractères.
Une fois que le fichier a été exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Afin de désorienter l'utilisateur, le ver provoque le démarrage de l'utilitaire Windows standard Sound Recorder (sndrec32.exe). Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants qui sont liés d'une manière ou d'une autre au cheval de Troie proxy TrojanProxy.Win32.Mitglieder. A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et ' I-Worm.Bagle ' ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion.
Ceci étant dit, c'est la partie cheval de Troie du ver qui représente la plus grande menace pour l'ordinateur infecté. Elle ouvre en effet le port 8866 et surveille son activité. Les personnes mal intentionnées peuvent ainsi administrer l'ordinateur à distance. Ils peuvent notamment exécuter différentes commandes et télécharger des fichiers pour les consulter.
A toi de mesurer la menace
SI je trouve un lien je le poste
http://www.kaspersky.com/fr/news.html?id=3504262
Désactive ton AV et essaie leur AV en ligne
A++
Eric
Plus clair et de source Sophos
Informations sur le virus
Troj/Bagle-Y
Récapitulatif
Récapitulatif Description Désinfection
Profil
Nom Troj/Bagle-Y
Type Cheval de Troie
Alias I-Worm.Bagle.x
W32/Bagle.y@MM
Protection
Protection disponible depuis le 29 avril 2004 14:21:59 (GMT)
Inclus dans notre produit depuis Juin 2004 (3.82)
Maintien à jour
Si vous n'utilisez pas encore notre technologie de mise à jour automatique, essayez EM Library, une partie de la suite d'outils de gestion Enterprise Manager, qui permet sur un grand nombre de plates-formes l'installation et la mise à jour complètement automatisées de Sophos Anti-Virus par l'intermédiaire du web.
Description
Récapitulatif Description Désinfection
Cette section vous aide à comprendre comment ce virus se comporte.
Troj/Bagle-Y est un cheval de Troie de porte dérobée proxy. Il se copie dans le dossier système Windows et crée deux fichiers supplémentaires nommés iinj4.exe et system.exe. Pour s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le ver crée également dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ssgrate.exe=%SYSTEM%\irun4.exe
Les entrées suivantes sont également créées dans le registre :
HKCU\Software\Timeout\uid = <chaîne de caractères aléatoire de 9 digits>.
HKCU\Software\Timeout\pid = <ID du processus du cheval de Troie>
HKCU\Software\Timeout\port = <port que le cheval de Troie surveille>
Les données peuvent être réacheminées vers d'autres ordinateurs via le proxy pour ignorer les restrictions d'accès et cacher l'adresse IP de l'ordinateur source.
Le proxy peut être utilisé pour réacheminer un courriel SPAM.
Troj/Bagle-Y tente de mettre fin aux applications de sécurité concernées.
Lorsque le cheval de Troie s’exécute, il lance un relais SMTP sur le port TCP 25 et une porte dérobée sur un port aléatoire variant entre 2000 et 50000. Le cheval de Troie essaie d’envoyer des informations de connexion aux sites ci-dessous.
www.lowenbrau.ru/manager_old/images/ngr2.php
www.ctn.ru/marketing/images/ngr2.php
alfinternational.ru/old/oli-lack_katalog/ngr2.php
www.psnr.ru/rus/images/banners/ngr2.php
www.gasterixx.de/gfx/ngr2.php
www.deadlygames.de/DG/BF/BF-Links/clans/ngr2.php
www.o-problemo.de/gaestebuch/ngr2.php
www.tv87.de/subdomain_la/Fachwart/ngr2.php
www.ranknet.de/LVS/pics/_notes/ngr2.php
www.joerrens.de/system/include/crc.php
www.bbszene.de/store/images/video_amazon/ngr2.php
www.gebr-wachs.de/mod/san_beratung/thumb/ngr2.php
www.lords-of-havoc.de/Avatare/ngr2.php
comdat.de/kreta/ngr2.php
www.eurostretch.ru/ngr2.php
mir-auto.ru/ngr2.php
artesproduction.com/ngr2.php
www.hhc-online.de/home/links/pics/ngr2.php
gaz-service.ru/img/pict/ngr2.php
rdwufa.ru/img/pict/ngr5.php
www.komandor.ru/sessions/ngr2.php
www.mirage.ru/sport/omega/pic/omega/ngr2.php
prizmapr.ru/test/images/ngr2.php
avistrade.ru/prog/img/proizvod/ngr2.php
service6.valuehost.ru/images/ngr2.php
www.thomas-we.de/Design/ngr2.php
partiyazerna.1gb.ru/menu/analitika/ngr2.php
pvcps.ru/images/ngr2.php
monomah-city.ru/vakans/ngr2.php
mir-vesov.ru/p/lang/CVS/ngr2.php
promco.ru/sovrem/panorama/ngr2.php
www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ngr2.php
die-cliquee.de/inhalt/mitglieder/foto/ngr2.php
Désinfection
Récapitulatif Description Désinfection
Cette section vous indique comment procéder à la désinfection de ce virus.
Veuillez suivre les instructions de suppression des chevaux de Troie.
Windows NT/2000/XP/2003
Dans Windows NT/2000/XP/2003, vous devez aussi modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre.
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu “Registre”, cliquez sur “Exporter un fichier du Registre”. Dans la zone “Etendue de l’exportation”, cliquez sur “Tout” puis enregistrez votre registre sous Backup.
Recherchez l’entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ssgrate.exe=%SYSTEM%\irun4.exe
et supprimez-la si elle existe.
Fermez l’éditeur du registre.
Pour trouver l'info j'utilise Copernic Agent
Eric
Informations sur le virus
Troj/Bagle-Y
Récapitulatif
Récapitulatif Description Désinfection
Profil
Nom Troj/Bagle-Y
Type Cheval de Troie
Alias I-Worm.Bagle.x
W32/Bagle.y@MM
Protection
Protection disponible depuis le 29 avril 2004 14:21:59 (GMT)
Inclus dans notre produit depuis Juin 2004 (3.82)
Maintien à jour
Si vous n'utilisez pas encore notre technologie de mise à jour automatique, essayez EM Library, une partie de la suite d'outils de gestion Enterprise Manager, qui permet sur un grand nombre de plates-formes l'installation et la mise à jour complètement automatisées de Sophos Anti-Virus par l'intermédiaire du web.
Description
Récapitulatif Description Désinfection
Cette section vous aide à comprendre comment ce virus se comporte.
Troj/Bagle-Y est un cheval de Troie de porte dérobée proxy. Il se copie dans le dossier système Windows et crée deux fichiers supplémentaires nommés iinj4.exe et system.exe. Pour s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le ver crée également dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ssgrate.exe=%SYSTEM%\irun4.exe
Les entrées suivantes sont également créées dans le registre :
HKCU\Software\Timeout\uid = <chaîne de caractères aléatoire de 9 digits>.
HKCU\Software\Timeout\pid = <ID du processus du cheval de Troie>
HKCU\Software\Timeout\port = <port que le cheval de Troie surveille>
Les données peuvent être réacheminées vers d'autres ordinateurs via le proxy pour ignorer les restrictions d'accès et cacher l'adresse IP de l'ordinateur source.
Le proxy peut être utilisé pour réacheminer un courriel SPAM.
Troj/Bagle-Y tente de mettre fin aux applications de sécurité concernées.
Lorsque le cheval de Troie s’exécute, il lance un relais SMTP sur le port TCP 25 et une porte dérobée sur un port aléatoire variant entre 2000 et 50000. Le cheval de Troie essaie d’envoyer des informations de connexion aux sites ci-dessous.
www.lowenbrau.ru/manager_old/images/ngr2.php
www.ctn.ru/marketing/images/ngr2.php
alfinternational.ru/old/oli-lack_katalog/ngr2.php
www.psnr.ru/rus/images/banners/ngr2.php
www.gasterixx.de/gfx/ngr2.php
www.deadlygames.de/DG/BF/BF-Links/clans/ngr2.php
www.o-problemo.de/gaestebuch/ngr2.php
www.tv87.de/subdomain_la/Fachwart/ngr2.php
www.ranknet.de/LVS/pics/_notes/ngr2.php
www.joerrens.de/system/include/crc.php
www.bbszene.de/store/images/video_amazon/ngr2.php
www.gebr-wachs.de/mod/san_beratung/thumb/ngr2.php
www.lords-of-havoc.de/Avatare/ngr2.php
comdat.de/kreta/ngr2.php
www.eurostretch.ru/ngr2.php
mir-auto.ru/ngr2.php
artesproduction.com/ngr2.php
www.hhc-online.de/home/links/pics/ngr2.php
gaz-service.ru/img/pict/ngr2.php
rdwufa.ru/img/pict/ngr5.php
www.komandor.ru/sessions/ngr2.php
www.mirage.ru/sport/omega/pic/omega/ngr2.php
prizmapr.ru/test/images/ngr2.php
avistrade.ru/prog/img/proizvod/ngr2.php
service6.valuehost.ru/images/ngr2.php
www.thomas-we.de/Design/ngr2.php
partiyazerna.1gb.ru/menu/analitika/ngr2.php
pvcps.ru/images/ngr2.php
monomah-city.ru/vakans/ngr2.php
mir-vesov.ru/p/lang/CVS/ngr2.php
promco.ru/sovrem/panorama/ngr2.php
www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ngr2.php
die-cliquee.de/inhalt/mitglieder/foto/ngr2.php
Désinfection
Récapitulatif Description Désinfection
Cette section vous indique comment procéder à la désinfection de ce virus.
Veuillez suivre les instructions de suppression des chevaux de Troie.
Windows NT/2000/XP/2003
Dans Windows NT/2000/XP/2003, vous devez aussi modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre.
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu “Registre”, cliquez sur “Exporter un fichier du Registre”. Dans la zone “Etendue de l’exportation”, cliquez sur “Tout” puis enregistrez votre registre sous Backup.
Recherchez l’entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ssgrate.exe=%SYSTEM%\irun4.exe
et supprimez-la si elle existe.
Fermez l’éditeur du registre.
Pour trouver l'info j'utilise Copernic Agent
Eric
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
tu as spybot
passe le
fait corriger les problemes ensuite
click sur vaccination
enbas de la fenetre coche enable permanent blocking
et met sur bloquer les mauvaise pages silencieusement
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu as spybot
passe le
fait corriger les problemes ensuite
click sur vaccination
enbas de la fenetre coche enable permanent blocking
et met sur bloquer les mauvaise pages silencieusement
la chasse et le balltrap ma vrai passion
voir site perso dans profil
salut,
Diams,
j'ai déjà scanné mon pc avec kapersky qui n'a rien trouvé, avant lui , virus scan ne détectait plus de trojan.
Néanmoins j'ai tj la page de démarrage piratée...
Quand la clé, du registre elle n'existe pas ( de tte manière comme ton post le disait, cela ne concernait pas Windows ME)
Balltrap,
est-ce que la manip vadétruire le trojan ou seulement le bloquer?
Maintenant je navigue via mozilla ff et même si la page est tj piratée dans le menu option internet, elle ne peut plus s'afficher. Mais j'aimerais qd même éradiquer cette M...
A bon entendeur!!!
@+
Diams,
j'ai déjà scanné mon pc avec kapersky qui n'a rien trouvé, avant lui , virus scan ne détectait plus de trojan.
Néanmoins j'ai tj la page de démarrage piratée...
Quand la clé, du registre elle n'existe pas ( de tte manière comme ton post le disait, cela ne concernait pas Windows ME)
Balltrap,
est-ce que la manip vadétruire le trojan ou seulement le bloquer?
Maintenant je navigue via mozilla ff et même si la page est tj piratée dans le menu option internet, elle ne peut plus s'afficher. Mais j'aimerais qd même éradiquer cette M...
A bon entendeur!!!
@+
re si spy la dans sa base il vas le nettoyer et ensuite tu bloque la page et tu seras tranquile
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
hello
j'ai eu le meme probleme et j'ai supprimé les lignes qui comportaient que des chiffres(sans le nom qui suit)
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
Ainsi que tous ceux là
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
Et egalement ceux la
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
essaye de les enlever par petits paquets.
A priori moi j'ai plus cette m....
j'ai eu le meme probleme et j'ai supprimé les lignes qui comportaient que des chiffres(sans le nom qui suit)
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -
O16 - DPF: {10000000-1000-0000-1000-000000000000} -
Ainsi que tous ceux là
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
Et egalement ceux la
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
essaye de les enlever par petits paquets.
A priori moi j'ai plus cette m....
