Fichier et entrées bizarres dans la startup list - Sécurité - Windows & Software
Marsh Posté le 11-04-2004 à 19:40:14
Tu dois avoir un processus bozarre qui recrée automatiquement les entrées dans la bdr!
surement un spyware!
si tu veux essayer de le virer a la main tue d'abord le processus du spyware.
Marsh Posté le 13-04-2004 à 14:05:06
Bon j'ai du nouveau ...
Mon poste exécute un client norton corporate. A partir du serveur je me suis apperçu qu'il avait détecté lors d'une analyse programmée un virus : Backdoor.Coreflood
Je ne sais pas du tout comment il est arrivé là et de plus comment il s'est exécuté
Toujours est-il que ce troyen modifie explorer.exe, copie une dll avec un nom de 7 lettres généré aléatoirement, inscrit des entrées dans la BDR à la clé RUN et ouvre un canal IRC.
Perso, je n'ai pas de connexion IRC ouverte et la dll n'existe pas ou plus (peut-être l'action de mon AV) mais mon explorer reste modifié, les entrées dans la BDR restent donc invirables et le fichier de 7 lettres que j'ai trouvé dans le repertoire TEMP aussi (je me suis apperçu grace à l'excellent TaskInfo que c'était explorer.exe qui l'avait ouvert)
J'ai beau suivre les instructions du site de Symantec (enlever la restauration système, booter en safe mode) le scan AV ne donne rien (j'ai aussi scanné avec A2, un anti-troyen réputé. Le scan de Secuser ne donne toujours rien et un scan sous Thecleaner4 non plus) et le problème persiste.
Alors quoi !?
J'essaye de scanner mon HDD sur un autre poste en espérant qu'il détecte et répare mon explorer.exe !?
Je réinstalle carrément !?
Ou il existe une procédure miracle !?
Marsh Posté le 13-04-2004 à 14:57:57
http://securityresponse.symantec.c [...] flood.html
ta fait ça ?
Marsh Posté le 13-04-2004 à 15:03:02
ben voui
1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Restart the computer in Safe mode or VGA mode.
4. Run a full system scan and delete all the files detected as Backdoor.Coreflood.
5. Delete the value that was added to the registry.
Au 4, le scan de norton (ou autres) ne donne rien
Au 5, les clés réapparaissent de suite.
le fichier de 7 lettres dans mon TEMP est toujours verouillé par explorer.exe et grossit en taille (il fait désormais 312 octets)
Marsh Posté le 13-04-2004 à 17:19:41
J'ai scanné le HDD sur une autre machine et bien sur y'a rien eu de trouvé. J'en ai profité pour virer le fichier dans mon rep TEMP mais au 1er redémarrage sur l'OS infecté, il s'est recréé
Ca commence à me gaver ... car ça sent la réinstall
Marsh Posté le 14-04-2004 à 19:39:38
Salut,
Tu pourrais essayer nettoyage dans les mêmes conditions (mode ss échec et stop restauration système) avec un autre antitrojan comme celui de Sophos spécialement pour ta saleté http://www.sophos.fr/virusinfo/analyses/index_b.html et/ou celui de NAI stinger.
Avant de nettoyer, kill le processus explorer.exe s'il est actif et déconnecte le cable modem.
A+
Marsh Posté le 14-04-2004 à 22:47:11
trolldetroy a écrit : Salut, |
Si je kille explorer.exe, windows ne fonctionne plus.
Je crois avoir déjà scanné avec pas mal de trucs.
J'ai opté pour la réinstallation mais cette histoire me reste en travers de la gorge. Je compte écrire à Symantec puisque on bénéficie d'un support.
Marsh Posté le 11-04-2004 à 17:20:24
Hello,
j'ai remarqué il y a peu un fichier bizarre dans mon dossier temp : ozovxpi (sans extension)
celui-ci n'est pas supprimable (erreur comme quoi il est utilisé par un programme). Il pèse actuellement 168 octets et contient des caractères incompréhensibles à l'ouverture dans le bloc-note.
dans la BDR, j'ai les entrées suivantes (fournies par Regcleaner) :
*ozovxpi, Rundll32 C:\WINDOWS\System32:ozovxpi.dll,Init 1, HKEY_LM\RunOnce
Ozovxpi, Rundll32 C:\WINDOWS\System32:ozovxpi.dll,Init 1, HKEY_LM\Run
Si je les supprime (par Regcleaner ou à la main), elles réapparaissent de suite. Aucune trace à la recherche d'une "ozovxpi.dll".
Je n'ai pas remarqué de prog bizarre dans le gestionnaire des taches. Mon PC n'a pas de symptomes particuliers. J'ai un Norton AV corporate qui tourne et ne détecte rien au scan. L'antivirus en ligne de Secuser non plus.
Spybot et Adaware ne me détectent rien et je n'ai trouvé à l'aide de google aucune info sur ce "ozovxpi"
bref c'est le mystère
Une idée ??