INFECTION PROBABLE

Le
pascal
bonjour

je suis victime d'une infection à la suite d'une agression multiple detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
du me planter.. :(

le premier symptome a été une hyperactivité du cpu à 100% avec
ralentissement ++, puis bug dans outlook 2007 pour finalement ne plus
pouvoir le demarrer. dans le repertoire d outlook le fichier de donné a
disparu (effacé lors du travail du cpu à 100% ?). Depuis le pc rame avec une
activité du cpu minime, avira antivir est affiché dans la barre de tache
comme fermé. j'ai lancé malwarebytes qui rame un max depuis 24 heures et qui
a trouvé un élément infecté.
en mode sans echec un écran bleu avec le message suivant:"
IRQL_NOT_LESS_OR_EQUAL " qui m 'empeche d aller plus loin..

malwarebytes est il efficace ? dois je le laisser continuer ?
dois passer à autre chose ?
merci de votre aide
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
DePassage
Le #21038041
Le 24/01/2010 10:08, pascal a écrit :
bonjour

je suis victime d'une infection à la suite d'une agression multiple detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte j'ai
du me planter..... :(



malwarebytes est il efficace ?



Il l'est mais dans des cas précis

dois je le laisser continuer ?



Non

dois passer à autre chose ?




A lire avant :

http://forum.malekal.com/avant-poster-dans-partie-virus-t12023.html

Pour te faire désinfecter :

http://forum.malekal.com/virus-trojans-spywares.html
pascal
Le #21038161
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904

y a t il un exe spécifique ?

"DePassage" hjh567$32n$
Le 24/01/2010 10:08, pascal a écrit :
bonjour

je suis victime d'une infection à la suite d'une agression multiple
detectée
par avira antivir. mais dans les manipulation à chaque message d'alerte
j'ai
du me planter..... :(



malwarebytes est il efficace ?



Il l'est mais dans des cas précis

dois je le laisser continuer ?



Non

dois passer à autre chose ?




A lire avant :

http://forum.malekal.com/avant-poster-dans-partie-virus-t12023.html

Pour te faire désinfecter :

http://forum.malekal.com/virus-trojans-spywares.html


DePassage
Le #21038251
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904

y a t il un exe spécifique ?



C'est fini les exe spécifiques, du moins pour les infections modernes

Suivant les infections, l'exe peut changer de nom à chaque reboot par
ex, pour échapper à l'antivirus etc etc

Pour ton cas :

Googgle, tes dix doigts et 2 secondes plus tard :

http://forum.avira.de/wbb/index.php?page=Thread&threadID5020
DePassage
Le #21038391
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904



Je te conseille après désinfection (vas sur malekal car l'ex du forum
avira est adapté à un cas, c'est juste pour te donner une idée de "la
chose"), de mettre à jour ton PC

Tu n'as pu attraper cela que via un exploit sur un site web (vidéo, etc)

Si quelques programmes de base ne sont pas à jour (flashplayer, reader
de fichiers .pdf, java, ...) c'est l'infection assurée via le surf

Pour une mise à jour basique (hors windows)

http://www.filehippo.com/updatechecker/
Roland Garcia
Le #21043161
DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904

y a t il un exe spécifique ?



C'est fini les exe spécifiques, du moins pour les infections modernes



Il y a même très longtemps et c'est une particularité de Windows, une
petite expérience peut le démontrer:

Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.

--
Roland Garcia
pascal
Le #21050791
Bonjour
tout d'abord merci de l'aide DePassage
deja avec un scan avira et malwarebytes j'ai éliminé qq bestioles !! pour
le kryptic je vais ce soir me lancer dans la manip!! de toute façon le pc
fonctionne normalement, sauf que le plantage de outlook persiste (erreur ont
étés détecteé dans le dossier outlook.pst). qd je lance l'outil de
reparation scanpst.exe, il s'execute mais au moment de lancer la reparation
le log plante.....


"DePassage" hjh81h$7vo$
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904



Je te conseille après désinfection (vas sur malekal car l'ex du forum
avira est adapté à un cas, c'est juste pour te donner une idée de "la
chose"), de mettre à jour ton PC

Tu n'as pu attraper cela que via un exploit sur un site web (vidéo, etc)

Si quelques programmes de base ne sont pas à jour (flashplayer, reader de
fichiers .pdf, java, ...) c'est l'infection assurée via le surf

Pour une mise à jour basique (hors windows)

http://www.filehippo.com/updatechecker/


rm
Le #21069741
Salut,
Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia

DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit d e
rkit/kryptic.763904

y a t il un exe spécifique ?


C'est fini les exe spécifiques, du moins pour les infections moder nes



Il y a même très longtemps et c'est une particularité de Windows , une
petite expérience peut le démontrer:

Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un E XE
et le lance comme tel.



Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se
lancer, non ?
Malheureusement, je crains que Windows fasse toujours confiance à la b onne
vieille branche HKCR de sa fantastique base de registre :)
C'est là dedans que les extensions y sont associées à un type qui lui même
sera associé à une action/commande opérable par le système ou un e de ses
applications.

Si tu modifies le MZ de ton calc.scr, Windows essayera quand même de l e
lancer mais te dira que ton programme est tout cassé.

@+
--
rm - http://opera-fr.com
P
Le #21073141
Roland Garcia écrivait dans le message de *News*

Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.



Hey, Roland on évuluer !! Il est tps de te reveiller

--
/**/
Roland Garcia
Le #21087741
rm a écrit :
Salut,
Le Mon, 25 Jan 2010 00:23:19 +0100, Roland Garcia

DePassage a écrit :
Le 24/01/2010 11:08, pascal a écrit :
Re

je viens de voir que dans la quarantaine d avira antivir il s'agit de
rkit/kryptic.763904

y a t il un exe spécifique ?


C'est fini les exe spécifiques, du moins pour les infections modernes



Il y a même très longtemps et c'est une particularité de Windows, une
petite expérience peut le démontrer:

Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.



Donc si tu renommes cacl.exe en calc.rg, la calculette devrait aussi se
lancer, non ?



Non.

Malheureusement, je crains que Windows fasse toujours confiance à la
bonne vieille branche HKCR de sa fantastique base de registre :)
C'est là dedans que les extensions y sont associées à un type qui lui
même sera associé à une action/commande opérable par le système ou une
de ses applications.



Oui et non.

Oui car si l'extension n'est pas prévue (ex: .rg) Windows ne la lancera
pas, sauf si on la rajoute dans la BDR.

Non car Windows regarde quand même si le programme commence par MZ pour
différencier un programme Windows d'un programme DOS. Pour preuve un
.pif n'est pas un MZ, or si on renomme un .exe en .pif Windows sait
toujours que c'est un .exe

Si tu modifies le MZ de ton calc.scr, Windows essayera quand même de le
lancer mais te dira que ton programme est tout cassé.



Non, il considèrera que c'est un programme DOS et essayera de le lancer
dans la console, évidemment cela ne marchera pas.

Pour montrer que ce PB est connu et ancien le filtrage des pièces
attachées sur un MTA se fait préférentiellement sur la nature du fichier
et non l'extension, exemple l'option par défaut de Renattach:

"Delete executable binary attachments by signature. renattach looks
for encoded bytes that identify DOS/Windows executables ('MZ'). If an
executable is found, the encoded attachment will be removed while
the MIME header remains unchanged. This is a feature that works
independently of filename-based filtering, designed as a backup. The
net effect is that encoded executables are deleted. Email clients will
see 0-byte attachments."
http://www.pc-tools.net/unix/renattach/renattach-manual-1.5.pdf





--
Roland Garcia
Roland Garcia
Le #21087731
a écrit :
Roland Garcia écrivait dans le message de *News*

Copier calc.exe (dans c:windowssystem32) sur le bureau. Le renommer
successivement calc.pif et calc.scr et vérifier que ça lance dans les
deux cas la calculatrice.

L'explication est simple: Windows ne regarde pas dans ce cas là
l'extension mais la nature du fichier. Et comme il voit qu'il commence
par MZ (vérifier avec un traitement de texte) il sait que c'est un EXE
et le lance comme tel.



Hey, Roland on évuluer !! Il est tps de te reveiller



ébénon, ça n'a pas évolué.

--
Roland Garcia
Publicité
Poster une réponse
Anonyme