J'ai chopé une saloperie sur ma clef usb et maintenant je pense que c'est
mon pc qui est infecté!
J'ai un anti-virus "Symantec Endpoint Protection" à jour, mais il ne voit
rien.
J'avais désactivé le démarrage automatique à partir des supports externes!
J'avais à la racine de la clef :
- un fichier autorun.inf
- un dossier (attributs RHS) nommé "click" contenant
= un exécutable nommé "jack.exe" (attributs RHSA)
= un fichier nommé "Desktop.ini" (attributs HSA) et contenant les
infos suivantes
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
J'arrive à supprimer le dossier mais pas le fichier autorun.inf
L'antivirus en ligne Trend Micro le voit, me dit qu'il l'éradique, mais cela
revient après le boot!
Je viens d'essayer Malwarebyte's mais il ne me dit rien sur ce qu'il y a
dans la clef, par contre j'avais deux saloperies sur le disque système.
Une idée?
Merci de votre aide.
--
Jerry Khann
Adresse invalide: retirer le bouchon _O_ et .invalid
Je ne sais pas trop. Ton Pc appartient il a un parc (entreprise) ? ou bien est il suivi par un technicien ?
tbsnt.exe pourrait etre un service d'inventaire. http://france.asg.com/products/product_details.asp?code=TBZ&id5 En ce sens il agit "comme" un backdoor, chargé avec le noyau, afin de recolter l'etat de la machine et l'envoyer par snmp a son serveur.
Mais ca peut tres bien etre autre chose, voire meme un usage detouné du service...
L'entree winlogon a ete viree semble t il, mais le fichier est il toujours la ? (sous windows/system32) ? -- Cordialement, Az Sam.
"Jerry Khann" <jerry_o_khann@freesurf.fr.invalid> a écrit dans le message de
news: hil23g$t3i$1@eerie.ema.fr...
Je ne sais pas trop. Ton Pc appartient il a un parc (entreprise) ? ou bien
est il suivi par un technicien ?
tbsnt.exe pourrait etre un service d'inventaire.
http://france.asg.com/products/product_details.asp?code=TBZ&id5
En ce sens il agit "comme" un backdoor, chargé avec le noyau, afin de
recolter l'etat de la machine et l'envoyer par snmp a son serveur.
Mais ca peut tres bien etre autre chose, voire meme un usage detouné du
service...
L'entree winlogon a ete viree semble t il, mais le fichier est il toujours
la ? (sous windows/system32) ?
--
Cordialement,
Az Sam.
Je ne sais pas trop. Ton Pc appartient il a un parc (entreprise) ? ou bien est il suivi par un technicien ?
tbsnt.exe pourrait etre un service d'inventaire. http://france.asg.com/products/product_details.asp?code=TBZ&id5 En ce sens il agit "comme" un backdoor, chargé avec le noyau, afin de recolter l'etat de la machine et l'envoyer par snmp a son serveur.
Mais ca peut tres bien etre autre chose, voire meme un usage detouné du service...
L'entree winlogon a ete viree semble t il, mais le fichier est il toujours la ? (sous windows/system32) ? -- Cordialement, Az Sam.
Pascal
-------- Message original --------
"Pascal" a écrit dans le message de news: 4b4df881$0$28653$
c'est à dire ? sur ma config, mon antivirus ?
heu... sur le malware laissé par MBAM et trouvé par AdAware. Le sujet de Jerry Khann quoi ;-)
hmm, effectivement je me l'étais un peu approprié !! ;-)
-------- Message original --------
"Pascal" <xxx.xxx@xxx.fr> a écrit dans le message de news:
4b4df881$0$28653$426a74cc@news.free.fr...
c'est à dire ?
sur ma config, mon antivirus ?
heu... sur le malware laissé par MBAM et trouvé par AdAware. Le sujet de
Jerry Khann quoi ;-)
hmm, effectivement je me l'étais un peu approprié !!
;-)