Fichier et entrées bizarres dans la startup list

Fichier et entrées bizarres dans la startup list - Sécurité - Windows & Software

Marsh Posté le 11-04-2004 à 17:20:24    

Hello,
 
j'ai remarqué il y a peu un fichier bizarre dans mon dossier temp : ozovxpi (sans extension)
 
celui-ci n'est pas supprimable (erreur comme quoi il est utilisé par un programme). Il pèse actuellement 168 octets et contient des caractères incompréhensibles à l'ouverture dans le bloc-note.
 
dans la BDR, j'ai les entrées suivantes (fournies par Regcleaner) :
 

*ozovxpi, Rundll32 C:\WINDOWS\System32:ozovxpi.dll,Init 1, HKEY_LM\RunOnce
Ozovxpi, Rundll32 C:\WINDOWS\System32:ozovxpi.dll,Init 1, HKEY_LM\Run


 
Si je les supprime (par Regcleaner ou à la main), elles réapparaissent de suite. Aucune trace à la recherche d'une "ozovxpi.dll".
 
Je n'ai pas remarqué de prog bizarre dans le gestionnaire des taches. Mon PC n'a pas de symptomes particuliers. J'ai un Norton AV corporate qui tourne et ne détecte rien au scan. L'antivirus en ligne de Secuser non plus.
Spybot et Adaware ne me détectent rien et je n'ai trouvé à l'aide de google aucune info sur ce "ozovxpi"
 
bref c'est le mystère :heink:
 
Une idée ??

Reply

Marsh Posté le 11-04-2004 à 17:20:24   

Reply

Marsh Posté le 11-04-2004 à 19:05:39    

up

Reply

Marsh Posté le 11-04-2004 à 19:40:14    

Tu dois avoir un processus bozarre qui recrée automatiquement les entrées dans la bdr!
surement un spyware!
si tu veux essayer de le virer a la main tue d'abord le processus du spyware.

Reply

Marsh Posté le 13-04-2004 à 14:05:06    

Bon j'ai du nouveau ...
 
Mon poste exécute un client norton corporate. A partir du serveur je me suis apperçu qu'il avait détecté lors d'une analyse programmée un virus : Backdoor.Coreflood
 
Je ne sais pas du tout comment il est arrivé là et de plus comment il s'est exécuté :ouch:  :sweat:
 
Toujours est-il que ce troyen modifie explorer.exe, copie une dll avec un nom de 7 lettres généré aléatoirement, inscrit des entrées dans la BDR à la clé RUN et ouvre un canal IRC.
 
Perso, je n'ai pas de connexion IRC ouverte et la dll n'existe pas ou plus (peut-être l'action de mon AV) mais mon explorer reste modifié, les entrées dans la BDR restent donc invirables et le fichier de 7 lettres que j'ai trouvé dans le repertoire TEMP aussi (je me suis apperçu grace à l'excellent TaskInfo que c'était explorer.exe qui l'avait ouvert) :/
 
J'ai beau suivre les instructions du site de Symantec (enlever la restauration système, booter en safe mode) le scan AV ne donne rien (j'ai aussi scanné avec A2, un anti-troyen réputé. Le scan de Secuser ne donne toujours rien et un scan sous Thecleaner4 non plus) et le problème persiste.
 
Alors quoi !?
 
J'essaye de scanner mon HDD sur un autre poste en espérant qu'il détecte et répare mon explorer.exe !?
 
Je réinstalle carrément !?
 
Ou il existe une procédure miracle !?


Message édité par ShonGail le 13-04-2004 à 14:06:22
Reply

Marsh Posté le 13-04-2004 à 14:54:39    

up

Reply

Marsh Posté le 13-04-2004 à 14:57:57    

Reply

Marsh Posté le 13-04-2004 à 15:03:02    


 
ben voui
 
1. Disable System Restore (Windows Me/XP).  
2. Update the virus definitions.  
3. Restart the computer in Safe mode or VGA mode.  
4. Run a full system scan and delete all the files detected as Backdoor.Coreflood.  
5. Delete the value that was added to the registry.
 
Au 4, le scan de norton (ou autres) ne donne rien
Au 5, les clés réapparaissent de suite.
 
le fichier de 7 lettres dans mon TEMP est toujours verouillé par explorer.exe et grossit en taille (il fait désormais 312 octets)

Reply

Marsh Posté le 13-04-2004 à 17:19:41    

J'ai scanné le HDD sur une autre machine et bien sur y'a rien eu de trouvé. J'en ai profité pour virer le fichier dans mon rep TEMP mais au 1er redémarrage sur l'OS infecté, il s'est recréé :fou:
 
Ca commence à me gaver ... car ça sent la réinstall :cry:

Reply

Marsh Posté le 14-04-2004 à 19:39:38    

Salut,
 
Tu pourrais essayer nettoyage dans les mêmes conditions (mode ss échec et stop restauration système) avec un autre antitrojan comme celui de Sophos spécialement pour ta saleté  http://www.sophos.fr/virusinfo/analyses/index_b.html et/ou celui de NAI stinger.
Avant de nettoyer, kill le processus explorer.exe s'il est actif et déconnecte le cable modem.
A+

Reply

Marsh Posté le 14-04-2004 à 22:47:11    

trolldetroy a écrit :

Salut,
 
Tu pourrais essayer nettoyage dans les mêmes conditions (mode ss échec et stop restauration système) avec un autre antitrojan comme celui de Sophos spécialement pour ta saleté  http://www.sophos.fr/virusinfo/analyses/index_b.html et/ou celui de NAI stinger.
Avant de nettoyer, kill le processus explorer.exe s'il est actif et déconnecte le cable modem.
A+
 


 
Si je kille explorer.exe, windows ne fonctionne plus.
Je crois avoir déjà scanné avec pas mal de trucs.
 
J'ai opté pour la réinstallation mais cette histoire me reste en travers de la gorge. Je compte écrire à Symantec puisque on bénéficie d'un support.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed