"Exportation de votre clé de signature privée" ?!

Le
Albédo
Bonjour.
J'attendais un fichier .doc et il s'est avéré que c'était un fichier .scr, mais
je m'en suis aperçu trop tard, j'ai cliqué, j'ai vu l'icone du centre de
sécurité s'afficher en anomalie, et depuis c'est la pagaille : chaque fois que
je lance un programme, une fen^^etre "Exportation de votre clé de signature
privée" s'affiche, dans laquelle "Une application demande l'accès à un élément
protégé". Quand je clique sur "Détail", ça me donne le chemin du programme que
je veux ouvrir.
En outre, le système est fortement ralenti.
Je suis en train de passer MalwareBytes, AVG 8.5 Free et je ferai examiner un
log de Hijack quand je me reconnecterai, mais est-ce que d'ores et déjà on peut
m'expliquer ce qui se passe, et quel genre de cochonnerie j'ai attrapée (je
m'aperçois aussi que la touche accent circonflexe a un comportement étrange --
ça rappelle de bien vieux souvenirs de virus) ?
Si ça s'avère trop lourd, je suis pr^^et (ahem) à réinstaller tout (j'y
pensais), mais je me demande si ça va bien se passer, car au départ j'ai un XP
SP1, et je crois avoir lu qu'il n'est plus "serviced" : est-ce que ça signifie
que je ne pourrai pas bénéficier des updates ?
Je repasserai (si faire se peut) avec les résultats des scans, mais si on
peut déjà m'orienter, je prendrai volontiers ; merci d'avance pour toute info
--
a.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Albédo
Le #19626471
Rectification : c'est XP "SP0" (2003 !)...
--
a.
Jacquouille la Fripouille
Le #19626981
*Bonjour Albédo*
Tu as tapoté sur ton clavier le message suivant
Bonjour.
J'attendais un fichier .doc et il s'est avéré que c'était un fichier
.scr, mais je m'en suis aperçu trop tard, j'ai cliqué, j'ai vu l'icone du
centre de sécurité s'afficher en anomalie, et depuis c'est la pagaille :
chaque fois que je lance un programme, une fen^^etre "Exportation de
votre clé de signature privée" s'affiche, dans laquelle "Une application
demande l'accès à un élément protégé". Quand je clique sur "Détail", ça
me donne le chemin du programme que je veux ouvrir.
En outre, le système est fortement ralenti.
Je suis en train de passer MalwareBytes, AVG 8.5 Free et je ferai
examiner un log de Hijack quand je me reconnecterai, mais est-ce que
d'ores et déjà on peut m'expliquer ce qui se passe, et quel genre de
cochonnerie j'ai attrapée (je m'aperçois aussi que la touche accent
circonflexe a un comportement étrange -- ça rappelle de bien vieux
souvenirs de virus) ?
Si ça s'avère trop lourd, je suis pr^^et (ahem) à réinstaller tout (j'y
pensais), mais je me demande si ça va bien se passer, car au départ j'ai
un XP SP1, et je crois avoir lu qu'il n'est plus "serviced" : est-ce que
ça signifie que je ne pourrai pas bénéficier des updates ?
Je repasserai (si faire se peut...) avec les résultats des scans, mais si
on peut déjà m'orienter, je prendrai volontiers ; merci d'avance pour
toute info...



Le double ^^, c'est ce bon vie
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.ux Bagle ou Beagle.
Secuser.com a l'outil adéquat FxBeagle :
http://secuser.com/telechargement/desinfection.htm#Bagle
Jacquouille la Fripouille
Le #19627031
*Bonjour Jacquouille la Fripouille*
Tu as tapoté sur ton clavier le message suivant
*Bonjour Albédo*
Tu as tapoté sur ton clavier le message suivant

Bonjour.
J'attendais un fichier .doc et il s'est avéré que c'était un fichier
.scr, mais je m'en suis aperçu trop tard, j'ai cliqué, j'ai vu l'icone du
centre de sécurité s'afficher en anomalie, et depuis c'est la pagaille :
chaque fois que je lance un programme, une fen^^etre "Exportation de
votre clé de signature privée" s'affiche, dans laquelle "Une application
demande l'accès à un élément protégé". Quand je clique sur "Détail", ça
me donne le chemin du programme que je veux ouvrir.
En outre, le système est fortement ralenti.
Je suis en train de passer MalwareBytes, AVG 8.5 Free et je ferai
examiner un log de Hijack quand je me reconnecterai, mais est-ce que
d'ores et déjà on peut m'expliquer ce qui se passe, et quel genre de
cochonnerie j'ai attrapée (je m'aperçois aussi que la touche accent
circonflexe a un comportement étrange -- ça rappelle de bien vieux
souvenirs de virus) ?
Si ça s'avère trop lourd, je suis pr^^et (ahem) à réinstaller tout (j'y
pensais), mais je me demande si ça va bien se passer, car au départ j'ai
un XP SP1, et je crois avoir lu qu'il n'est plus "serviced" : est-ce que
ça signifie que je ne pourrai pas bénéficier des updates ?
Je repasserai (si faire se peut...) avec les résultats des scans, mais si
on peut déjà m'orienter, je prendrai volontiers ; merci d'avance pour
toute info...





Je reprends :
Le double ^^, c'est ce bon virus Bagle ou Beagle.
Secuser.com a l'outil adéquat FxBeagle :
http://secuser.com/telechargement/desinfection.htm#Bagle

--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.
Albédo
Le #19627541
"Jacquouille la Fripouille" :
Le double ^^, c'est ce bon virus Bagle ou Beagle.



...et ça ne rajeunit personne, hein, Jacquouille ?
Hélas, je crains que ça ne soit pas aussi simple, vu que :
1° je peux pas lancer FxBeagle.exe : ça me donne une boîte de dialogue qui
beugle ceci :

Runtime Error!
Program: C:(...)FxBeagle.exe
R6034
An application has made an attempt to load the C runtime incorrectly.
Please contact the application's support team for more information.

et je suis obligé de killer le process via le Gestionnaire des tâches.

2° je pense pas que B(e)agle explique qu'à *chaque* fois que je veux lancer une
appli, *n'importe laquelle*, j'ai cette boîte de dialogue "Exportation de votre
clé de signature privée" / "Une application demande l'accès à un élément
protégé". Ça commence dès le changement de Windows, il ouvre sa bo^^ite pour
n'importe quel programme... :-(

3° enfin et pire, HiJackThis a trouvé ça :
F2 - REG:system.ini:
UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32twext.exe,


Il précise :
Cette inscription n'est affichée qu'à partir de la version 1.98 de HijackThis.
Non dangereux si rien ne se trouve après le signe "," (virgule).


mais il ne dit pas *quelle* virgule, la première (...userinit.exe,C:...) ou la
seconde (...twext.exe,) ? En tout cas, j'ai beau cocher la case et cliquer
"Fixer objet", tout s'efface, et quand je refais "Scan" la ligne est revenue...
:-(

4° AVG Anti-Rootkit (et encore, l'ancienne version gratuite), avait trouvé la
m^^eme chose, mais après un reboot il ne voit plus rien, pourtant tous les
symptomes persistent !

Une autre idée, estépéparpitié ?!
--
a.
Az Sam
Le #19628771
"Albédo" 4a4216a5$0$17757$

process via le Gestionnaire des tâches.

2° je pense pas que B(e)agle explique qu'à *chaque* fois que je veux lancer
une appli, *n'importe laquelle*, j'ai cette boîte de dialogue "Exportation de
votre
clé de signature privée" / "Une application demande l'accès à un élément
protégé". Ça commence dès le changement de Windows, il ouvre sa bo^^ite pour
n'importe quel programme... :-(

3° enfin et pire, HiJackThis a trouvé ça :
F2 - REG:system.ini:
UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32twext.exe,


Il précise :
Cette inscription n'est affichée qu'à partir de la version 1.98 de
HijackThis.
Non dangereux si rien ne se trouve après le signe "," (virgule).


mais il ne dit pas *quelle* virgule, la première (...userinit.exe,C:...) ou
la seconde (...twext.exe,) ? En tout cas, j'ai beau cocher la case et cliquer
"Fixer objet", tout s'efface, et quand je refais "Scan" la ligne est
revenue... :-(

4° AVG Anti-Rootkit (et encore, l'ancienne version gratuite), avait trouvé la
m^^eme chose, mais après un reboot il ne voit plus rien, pourtant tous les
symptomes persistent !

Une autre idée, estépéparpitié ?!



des pistes :

- vire la ligne C:WINDOWSsystem32twext.exe, a la main dans le system.ini, si
elle revient, c'est que tu dois fouiller (là en fait t'es pas sur de ce qui a
ete fait si j'ai bien compris)

- cesse d'utiliser ce windows, surtout sur le net.

- Scan en interne par un piege a rootkit usermode. :
F-Secure Blacklight
RootkitRevealer
Windows Malicious Software Removal Tool
ProcessGuard
Avira Anti Rootkit

- Tente gmer ou carrement combofix

- scane AV profond par un cd ou un systeme propre distinct.

- va sur un forum de desinfection comme Zebulon ou Malekal (faut courber
l'echine par contre) et demande une prise en charge en commencant par le HJT
complet.

--
Cordialement,
Az Sam.
Albédo
Le #19628861
"Az Sam" :
(...)
- cesse d'utiliser ce windows, surtout sur le net.


Qu'est-ce que tu entends par "ce windows" ? XP ? Ma machine ? MS ?

(...)
- va sur un forum de desinfection comme Zebulon ou Malekal (faut courber
l'echine par contre) et demande une prise en charge en commencant par le HJT
complet.


Qu'est-ce que tu entends pae "courber l'échine" ? Parce l'erreur n'est pas
humaine ?
Merci encore, merci d'avance pour ces précisions.
--
a.
Az Sam
Le #19629041
"Albédo" 4a424d63$0$17063$

- cesse d'utiliser ce windows, surtout sur le net.


Qu'est-ce que tu entends par "ce windows" ? XP ? Ma machine ? MS ?



"Le" windows sur lequel tu as executer ce .scr


Qu'est-ce que tu entends pae "courber l'échine" ? Parce l'erreur n'est pas
humaine ?



disons qu'ils ne font pas toujours dans le comprehensif

Merci encore, merci d'avance pour ces précisions.



De rien. Tiens nous au courant. ;-)

--
Cordialement,
Az Sam.
Depassage
Le #19629611
Az Sam wrote:
"Albédo" 4a424d63$0$17063$

- cesse d'utiliser ce windows, surtout sur le net.


Qu'est-ce que tu entends par "ce windows" ? XP ? Ma machine ? MS ?



"Le" windows sur lequel tu as executer ce .scr


Qu'est-ce que tu entends pae "courber l'échine" ? Parce l'erreur n'est
pas humaine ?



disons qu'ils ne font pas toujours dans le comprehensif




Là je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...

Les SP ne font pas que stabiliser l'OS, mais apportent également des
corrections de failles

Ensuite Baggle s'attrape avec des cracks et c'est là que ca va coincer.

Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas
en passant des programmes au petit bonheur la chance (méthode ludo) que
tu vas t'en débarasser facilement du fait des variantes.


Merci encore, merci d'avance pour ces précisions.



De rien. Tiens nous au courant. ;-)




Pour info :

http://forum.malekal.com/viewtopic.php?f3&tD42

http://www.malekal.com/tutorial_FindyKill.php

http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html
Az Sam
Le #19630221
"Depassage" 4a4262c7$0$290$

Là je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...

Les SP ne font pas que stabiliser l'OS, mais apportent également des
corrections de failles

Ensuite Baggle s'attrape avec des cracks et c'est là que ca va coincer.



tu veux dire que si on choppe baggle faut pas venir demandé de prise en charge ?
;-)


Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en
passant des programmes au petit bonheur la chance (méthode ludo) que tu vas
t'en débarasser facilement du fait des variantes.



s'il est rootkité il faudra qu'un programme lui donne l'indice.
en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un reste
negatif, serait une recherche au petit bonheur ?
c'ets bien pour cela que des multi AV existent.

ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que quand le
malware contenait tout un tas de betises, si c'est un rootkit bien foutu il
restera furtif.

Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels outils ?



http://forum.malekal.com/viewtopic.php?f3&tD42

http://www.malekal.com/tutorial_FindyKill.php

http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html



dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait de
mieux en matière de protection, "
Je comprendrais jamais...

et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que ce sont
les AV qui le voit.
Mais dans le cas present le dropper n'a pas été vu, donc pas bloqué. (si dropper
et rootkit il y a ...)


--
Cordialement,
Az Sam.
Roland Garcia
Le #19631221
Jacquouille la Fripouille a écrit :

Le double ^^, c'est ce bon virus Bagle ou Beagle.
Secuser.com a l'outil adéquat FxBeagle :
http://secuser.com/telechargement/desinfection.htm#Bagle



Non, le double ^^ est le signe d'un intercepteur de frappe de clavier et
il n'en manque pas...

--
Roland Garcia
Publicité
Poster une réponse
Anonyme